欢迎访问Sunbet,Sunbet是欧博Allbet的官方网站!

首页Sunbet_新闻事件正文

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

b9e08c31ae1faa592019-04-125

利用CSRF漏洞劫持YouTube用户通知

在本文中,我们将会为读者分析利用CSRF劫持YouTube用户通知的过程。故事发生在某天的半夜,当时,我正在YouTube上闲逛,无意中打开了自己的通知页面,具体请求如下所示: POST /notifications_ajax?action_register_device=1 HTTP/1.1 H

配景概述

近日,深佩服平安团队捕捉一枚Linux、windows双平台的挖矿病毒样本,经由过程平安职员剖析确认,该木马是经由过程redis破绽流传的挖矿木马DDG的最新变种,运用以后最新的go言语1.10编译运用了大批的基本库文件,该木马会大批斲丧效劳器资本,难以消灭并具有内网散布功用。

DDG挖矿病毒是一款在Linux体系下运转的歹意挖矿病毒,该病毒从客岁一向活泼在如今,已挖取了代价一千多万人民币的假造币泉币,此病毒样本在一年摆布的时候,已开辟出了DDG.3012/DDG3013/DDG3020多个变种版本。

重要功用以下:

1554962958144942.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第1张

0x1 征象形貌

依据平安感知SIP报警提醒,某主时机每隔3个小时从互联网去下载一个update.sh的歹意剧本衔接地点为:

43.245.222.57:8667/6Hxxxxxx/update.sh

1554954447447011.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第2张

同时对外网提议redis的扫描:

1554954467400476.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第3张

经由过程要挟谍报联系关系发明,以后还未收录该URL的相干谍报,查询提醒非歹意:

1554954477386485.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第4张

最新的日期为4月8日:

1554954497274962.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第5张

0x2 主机排查

平安职员经由过程对主机举行排查发明,以后的挖矿历程以后的CPU已达到了399%摆布,而且该历程名与PID都邑距离肯定的时候变更:

1554954508883358.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第6张

顺序的重要目次在tmp下面:

1554954516655178.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第7张

在tmp目次下发明病毒主体的样本建立用户为nobody:

1554954523628867.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第8张

同时运用准时义务做临时的存活,每距离30分钟实行一次:

1554954530746199.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第9张

Update.sh剧本重要完成的功用比较多,足足有15KB那么大,重要包罗的功用以下:

1. 病毒主体的歹意文件下载

2. Kill其他的其他挖矿历程

-------------------------------------

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

-------------------------------------

3. 写入authorized_keys完成root的免暗码登录

4. 建立准时义务

5. 增加iptables战略、消灭体系日记等操纵

1554954537776549.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第10张

写入authorized_keys完成root的免暗码登录截图以下:

1554954547200538.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第11张

0x3 病毒样本剖析

Sysupdate模块

该顺序由go言语编写,因为没有标记文件,以是函数全都是匿名的。Go言语的编译器分歧版本有很大区分,因此在剖析过程当中须要先辨认一下版本信息,该木马的编译器版本为1.10:

1554954556277238.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第12张

从函数的名字能够看出,该组件重要作用是用来内网扫描,横向挪动。继承跟进相干函数,寻觅详细功用;该顺序导入了多个模块,对内网中分歧效劳举行进击包罗mssql redis thinkphp weblogic等破绽:

1554954563592654.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第13张

1554954585281831.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第14张

Sysguard模块

这个组件重要事情是开启dog的一些要领,继承跟踪发明内部会有一些分歧平台的辨认,合营组件二的扫描效果,下载进击载荷payload,实行响应的os体系敕令完成进击义务。以是推断该挖矿顺序是能够在win和linux下都可运转的:

1554954594219584.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第15张

 经由过程cc效劳器完成的一系列要领,选中的函数的功用是猎取windows的powershell:

1554954605697184.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第16张

Sysupdate模块

该组件恰是挖矿组件的挖矿局部运用开源的xmrig:

1554954619809677.png linux挖矿病毒DDG革新后重出江湖舒展Windows平台  第17张

0x4 加固发起

1.清算体系内悉数用户的相干的歹意准时义务;

2.删除tmp目次下的歹意病毒文件;

3.修复相干的破绽、运用强暗码、对redis mssql等体系设置接见掌握权限;

4.运用深佩服平安产品,接入平安云脑,运用云查效劳能够立即检测防备新要挟;

5.发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

黑白对决 VXCON 4月27日在香港举办

黑白对决  VXCON将于4月27日在香港九龙观塘兴业街4号9楼The Wave举办。 时间安排 主题演讲:2019年4月27日(周六) Workshop和Village(暂定) 4月25日-26日 Workshop 4月28日 Village 4月29日-30日 Workshop 购票方式请从该活动官网进行

网友评论