F5 Networks公司指出，近期出現的Linux加密貨幣采礦僵尸網絡PyCryptoMiner采用Python腳本語言，具有很強的隱蔽性，其通過SSH實現傳播。與其它采取硬編碼命令與控制(C&C)服務器地址的惡意軟件(一旦C&C服務器無法訪問，惡意軟件則停止運作)不同，PyCryptoMiner僵尸網絡會在初始服務器不可用時利用便簽網站Pastebin發布其它備選C&C服務器地址，持續運作。

PyCryptoMiner僵尸網絡會在初始C&C服務器不可用時，利用Pastebin從新的C&C服務器處接收指令。在惡意人士的積極開發之下，該僵尸網絡最近還新增了掃描功能，可以搜索易受攻擊的開源JBoss服務器(利用CVE-2017-12149漏洞)。

Pastebin是一個便簽網站，可以很方便的復制粘貼你的文本內容然后做成便簽分享，很多黑客團隊喜歡把自己的攻擊成果(比如數據庫、代碼)貼在網站上來炫耀，2015年黑客開始利用Pastebin來傳播后門。

根據估計，截至2017年12月底，PyCryptoMiner僵尸網絡憑借門羅幣這一加密貨幣所獲得的收入已經達到4.6萬美元(約合人民幣30萬元)左右。

PyCryptoMiner絕不是針對Linux系統的惟一僵尸網絡威脅，基于腳本語言讓該惡意軟件更易被混淆。此外，F5公司的研究人員們還發現PyCryptoMiner擁有合法的二進制執行文件。

PyCryptoMiner的僵尸網絡感染過程

該僵尸網絡通過猜測目標Linux設備上的SSH登錄憑證進行傳播，一旦猜測成功，攻擊肉雞就會部署一套簡單的base64編碼Python傳播腳本，專門用于接入C&C服務器以下載并執行其它Python代碼。

第二階段代碼主要為肉雞控制器，其會在受感染設備上注冊一項cron作業以實現持久駐留。

原本的bash腳本還能夠在受感染設備上收集各類信息，具體包括主機/DNS名稱、操作系統名稱與架構、CPU數量以及CPU使用情況等。此外，其還會檢查目標設備是否已經受到感染，是否已被用于進行加密貨幣采礦或掃描。

該肉雞隨后會將收集到的信息發送至C&C服務器，而C&C則回復操作細節。后續操作任務包括執行任意命令、更新以及用于同步僵尸網絡結果的標識符，外加輪詢C&C服務器的時間間隔等。肉雞會將任務的執行輸出結果發送至C&C服務器處。

2017年12月中旬，該僵尸網絡迎來一波代碼更新，試圖利用數個月前披露的漏洞CVE-2017-12149掃描易受攻擊的JBoss服務器。

研究人員們指出，“待掃描的目標列表由C&C服務器負責控制，而肉雞端則擁有一個單獨的線程對C&C服務器進行輪詢，借以獲取新的目標。服務器使用C類IP地址范段響應掃描，但亦可提供單一IP地址。”

該僵尸網絡使用兩套地址池，各擁有94個與64個門羅幣，總價值約在6萬美元(約合人民幣39萬元)左右。該惡意軟件背后的操控者到底獲得了多少利潤不得而知。

利用Pastebin讓惡意軟件持續運作

與其它采取硬編碼C&C服務器地址的惡意軟件(一旦C&C服務器無法訪問，惡意軟件則停止運作)不同，本僵尸網絡會在初始服務器不可用時利用Pastebin發布其它備選C&C服務器地址。

根據F5方面的說法，目前該僵尸網絡的所有C&C服務器都已經無法訪問，所有新感染的肉雞設備皆處于空閑狀態，并不斷輪詢攻擊者的Pstebin.com頁面以待其更新。研究人員們根據該頁面判斷PyCryptoMiner僵尸網絡很可能啟動于2017年8月，截至調查之時已經被查看了17萬7987次。

PyCryptoMiner僵尸網絡規模未知

研究人員目前還無法確定該僵尸網絡的具體規模，這主要是因為一旦C&C服務器下線，肉雞設備將定期進行資源訪問并發出大量請求。PyCryptoMiner僵尸網絡的幕后操縱者昵稱為“WHATHAPPEN”，且研究人員還發現有235個與之相關的郵件地址以及超過36000個相關域名。自2012年以來，該注冊者不斷參與各類詐騙、賭博與成人服務。

F5公司表示，為找尋更多重要線索，研究仍在繼續。例如其中的“掃描工具節點”組件以及其它C&C服務器。一旦各個C&C服務器重新恢復運作，將會獲取到更多詳細信息。