linux挖矿病毒DDG革新后重出江湖舒展Windows平台 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

申博_新闻事件 申博 251次浏览 已收录 0个评论

利用CSRF漏洞劫持YouTube用户通知

在本文中,我们将会为读者分析利用CSRF劫持YouTube用户通知的过程。故事发生在某天的半夜,当时,我正在YouTube上闲逛,无意中打开了自己的通知页面,具体请求如下所示: POST /notifications_ajax?action_register_device=1 HTTP/1.1
H

配景概述

近日,深佩服平安团队捕捉一枚Linux、windows双平台的挖矿病毒样本,经由过程平安职员剖析确认,该木马是经由过程redis破绽流传的挖矿木马DDG的最新变种,运用以后最新的go言语1.10编译运用了大批的基本库文件,该木马会大批斲丧效劳器资本,难以消灭并具有内网散布功用。

DDG挖矿病毒是一款在Linux体系下运转的歹意挖矿病毒,该病毒从客岁一向活泼在如今,已挖取了代价一千多万人民币的假造币泉币,此病毒样本在一年摆布的时候,已开辟出了DDG.3012/DDG3013/DDG3020多个变种版本。

重要功用以下:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

0x1 征象形貌

依据平安感知SIP报警提醒,某主时机每隔3个小时从互联网去下载一个update.sh的歹意剧本衔接地点为:

43.245.222.57:8667/6Hxxxxxx/update.sh

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

同时对外网提议redis的扫描:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

经由过程要挟谍报联系关系发明,以后还未收录该URL的相干谍报,查询提醒非歹意:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

最新的日期为4月8日:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

0x2 主机排查

平安职员经由过程对主机举行排查发明,以后的挖矿历程以后的CPU已达到了399%摆布,而且该历程名与PID都邑距离肯定的时候变更:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

顺序的重要目次在tmp下面:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

在tmp目次下发明病毒主体的样本建立用户为nobody:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

同时运用准时义务做临时的存活,每距离30分钟实行一次:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

Update.sh剧本重要完成的功用比较多,足足有15KB那么大,重要包罗的功用以下:

1. 病毒主体的歹意文件下载

2. Kill其他的其他挖矿历程

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

3. 写入authorized_keys完成root的免暗码登录

4. 建立准时义务

5. 增加iptables战略、消灭体系日记等操纵

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

写入authorized_keys完成root的免暗码登录截图以下:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

0x3 病毒样本剖析

Sysupdate模块

该顺序由go言语编写,因为没有标记文件,以是函数全都是匿名的。Go言语的编译器分歧版本有很大区分,因此在剖析过程当中须要先辨认一下版本信息,该木马的编译器版本为1.10:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

从函数的名字能够看出,该组件重要作用是用来内网扫描,横向挪动。继承跟进相干函数,寻觅详细功用;该顺序导入了多个模块,对内网中分歧效劳举行进击包罗mssql redis thinkphp weblogic等破绽:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

Sysguard模块

这个组件重要事情是开启dog的一些要领,继承跟踪发明内部会有一些分歧平台的辨认,合营组件二的扫描效果,下载进击载荷payload,实行响应的os体系敕令完成进击义务。以是推断该挖矿顺序是能够在win和linux下都可运转的:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

 经由过程cc效劳器完成的一系列要领,选中的函数的功用是猎取windows的powershell:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

Sysupdate模块

该组件恰是挖矿组件的挖矿局部运用开源的xmrig:

linux挖矿病毒DDG革新后重出江湖舒展Windows平台

0x4 加固发起

1.清算体系内悉数用户的相干的歹意准时义务;

2.删除tmp目次下的歹意病毒文件;

3.修复相干的破绽、运用强暗码、对redis mssql等体系设置接见掌握权限;

4.运用深佩服平安产品,接入平安云脑,运用云查效劳能够立即检测防备新要挟;

5.发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

黑白对决 VXCON 4月27日在香港举办

黑白对决  VXCON将于4月27日在香港九龙观塘兴业街4号9楼The Wave举办。 时间安排 主题演讲:2019年4月27日(周六) Workshop和Village(暂定) 4月25日-26日 Workshop 4月28日 Village 4月29日-30日 Workshop 购票方式请从该活动官网进行


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明linux挖矿病毒DDG革新后重出江湖舒展Windows平台
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址