Rocke:来自中国的门罗币挖矿冠军
字数 1691 2025-08-20 18:17:59

Rocke门罗币挖矿恶意软件分析报告

概述

Rocke是一个来自中国的网络犯罪组织,专注于门罗币(Monero)挖矿活动。该组织使用多种技术手段传播和执行加密货币挖矿恶意软件,包括利用Git仓库、HttpFileServers (HFS)以及各种payload如shell脚本、JavaScript后门、ELF和PE格式的挖矿程序。

技术分析

早期活动(2018年4月)

  1. 传播方式

    • 使用中文和英文Git库(gitee.com和gitlab.com)传播恶意软件
    • 针对Apache Struts漏洞(CVE-2017-5638)进行攻击
    • 后来扩展到Oracle WebLogic(CVE-2017-10271)和Adobe ColdFusion(CVE-2017-3066)漏洞

  2. Payload结构

    • 包含16个文件的"ss"文件夹
    • 包含ELF可执行文件、shell脚本和可执行文本文件
    • 文本文件包含驻留和挖矿机执行指令

  3. 持久化机制

    • 安装定时任务从3389[.]space下载执行logo.jpg(实际为shell脚本)
    • 脚本根据系统架构下载相应挖矿程序(保存为"java")
    • 使用h32或h64调用java执行挖矿

近期活动(2018年7月)

  1. 基础设施

    • 使用HFS(118[.]24[.]150[.]172:10555)托管恶意文件
    • 扫描TCP 7001端口(WebLogic默认端口)

  2. 恶意文件分析

    • 0720.bin和3307.bin

      • 相同ELF文件(84.19KB)
      • 包含硬编码密码的shell后门
      • 可打开受害者设备shell

    • a7脚本

      • 终止其他挖矿进程和杀毒软件
      • 从blog[.]sydwzl[.]cn下载tar.gz文件
      • 使用GitHub的libprocesshider隐藏x7进程
      • 通过SSH横向移动

    • 挖矿配置

      • config.json(XMRig配置)
      • pools.txt(XMR-stak配置)
      • 使用xmr[.]pool[.]MinerGate[.]com:45700矿池
      • 钱包地址:rocke@live.cn

    • bashf和bashg

      • XMR-stak和XMRig的变种

    • lowerv2.sh和rootv2.sh

      • 下载执行bashf和bashg
      • 备用下载源:g2upl4pq6kufc4m[.]tk/XbashY

    • r88.sh

      • 安装定时任务
      • 下载lowerv2.sh和rootv2.sh

    • TermsHost.exe

      • PE32门罗币挖矿机(Monero Silent Miner)
      • 售价14美元,具有持久化功能
      • 注入notepad.exe进程
      • 创建dDNLQrsBUE.ur文件(类似Cobalt Strike)

攻击者信息

  1. 身份线索

    • MinerGate钱包:rocke@live.cn
    • 关联邮箱:jxci@vip.qq.com
    • Freebuf用户名:rocke
    • 地理位置:中国江西省
    • 可能关联江西师范大学

  2. GitHub活动

    • 存储与HFS系统相同的恶意文件
    • 对CryptoNote浏览器JS挖矿感兴趣
    • 使用虚假更新(Chrome警告、Flash更新等)传播payload
    • commands.js使用隐藏Iframes传播CloudFront payload

防御建议

  1. 漏洞防护

    • 及时修补Apache Struts、WebLogic和ColdFusion漏洞
    • 限制对管理端口的公开访问

  2. 监控措施

    • 监控异常进程(如java、x7等)
    • 检测定时任务和持久化机制变更
    • 关注矿池通信(xmr.pool.MinerGate.com等)

  3. 网络防护

    • 阻止已知恶意域名和IP(如118.24.150.172)
    • 监控Git仓库异常下载行为

  4. 安全意识

    • 警惕虚假更新和警告信息
    • 避免点击不明链接和下载未知软件

结论

Rocke组织展示了高度组织化的加密货币挖矿攻击能力,结合了多种传播方式、持久化技术和挖矿payload。其活动表明非法加密货币挖矿仍然是网络安全的重要威胁,需要持续关注和防御。

Rocke门罗币挖矿恶意软件分析报告 概述 Rocke是一个来自中国的网络犯罪组织,专注于门罗币(Monero)挖矿活动。该组织使用多种技术手段传播和执行加密货币挖矿恶意软件,包括利用Git仓库、HttpFileServers (HFS)以及各种payload如shell脚本、JavaScript后门、ELF和PE格式的挖矿程序。 技术分析 早期活动(2018年4月) 传播方式 : 使用中文和英文Git库(gitee.com和gitlab.com)传播恶意软件 针对Apache Struts漏洞(CVE-2017-5638)进行攻击 后来扩展到Oracle WebLogic(CVE-2017-10271)和Adobe ColdFusion(CVE-2017-3066)漏洞 Payload结构 : 包含16个文件的"ss"文件夹 包含ELF可执行文件、shell脚本和可执行文本文件 文本文件包含驻留和挖矿机执行指令 持久化机制 : 安装定时任务从3389[ . ]space下载执行logo.jpg(实际为shell脚本) 脚本根据系统架构下载相应挖矿程序(保存为"java") 使用h32或h64调用java执行挖矿 近期活动(2018年7月) 基础设施 : 使用HFS(118[ .]24[ .]150[ . ]172:10555)托管恶意文件 扫描TCP 7001端口(WebLogic默认端口) 恶意文件分析 : 0720.bin和3307.bin : 相同ELF文件(84.19KB) 包含硬编码密码的shell后门 可打开受害者设备shell a7脚本 : 终止其他挖矿进程和杀毒软件 从blog[ .]sydwzl[ . ]cn下载tar.gz文件 使用GitHub的libprocesshider隐藏x7进程 通过SSH横向移动 挖矿配置 : config.json(XMRig配置) pools.txt(XMR-stak配置) 使用xmr[ .]pool[ .]MinerGate[ . ]com:45700矿池 钱包地址:rocke@live.cn bashf和bashg : XMR-stak和XMRig的变种 lowerv2.sh和rootv2.sh : 下载执行bashf和bashg 备用下载源:g2upl4pq6kufc4m[ . ]tk/XbashY r88.sh : 安装定时任务 下载lowerv2.sh和rootv2.sh TermsHost.exe : PE32门罗币挖矿机(Monero Silent Miner) 售价14美元,具有持久化功能 注入notepad.exe进程 创建dDNLQrsBUE.ur文件(类似Cobalt Strike) 攻击者信息 身份线索 : MinerGate钱包:rocke@live.cn 关联邮箱:jxci@vip.qq.com Freebuf用户名:rocke 地理位置:中国江西省 可能关联江西师范大学 GitHub活动 : 存储与HFS系统相同的恶意文件 对CryptoNote浏览器JS挖矿感兴趣 使用虚假更新(Chrome警告、Flash更新等)传播payload commands.js使用隐藏Iframes传播CloudFront payload 防御建议 漏洞防护 : 及时修补Apache Struts、WebLogic和ColdFusion漏洞 限制对管理端口的公开访问 监控措施 : 监控异常进程(如java、x7等) 检测定时任务和持久化机制变更 关注矿池通信(xmr.pool.MinerGate.com等) 网络防护 : 阻止已知恶意域名和IP(如118.24.150.172) 监控Git仓库异常下载行为 安全意识 : 警惕虚假更新和警告信息 避免点击不明链接和下载未知软件 结论 Rocke组织展示了高度组织化的加密货币挖矿攻击能力,结合了多种传播方式、持久化技术和挖矿payload。其活动表明非法加密货币挖矿仍然是网络安全的重要威胁,需要持续关注和防御。