模块化后门Plurox剖析 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

模块化后门Plurox剖析

申博_新闻事件 申博 70次浏览 未收录 0个评论

2019年2月,卡巴斯基研究人员发明一个异常有意思的后门。经由过程进一步剖析,研究人员发明该后门有一些迥殊的特性。能够应用破绽在当地收集上流传,供应对被进击收集的接见,在受害者机械上装置挖矿机和其他歹意软件。并且该后门是模块化的,也就是说其功用能够经由过程插件来不断地扩大。研究人员剖析后将该歹意软件命名为Backdoor.Win32.Plurox。

主要特性

Plurox是从C言语编写的,运用Mingw GCC编译,依据代码中一些调试行研究人员推断该歹意软件仍在开辟测试阶段。

模块化后门Plurox剖析

样本中的Debug行

后门运用TCP协定与C2效劳器举行通讯,插件是经由过程分歧的端口来加载和直接接口的,C2地点是硬编码在僵尸主体中的。研究人员监控歹意软件运动发明了一共2个子网。在第一其中,Plurox只从C2中间吸收挖矿机(auto_proc, auto_cuda, auto_gpu_nvidia modules),在第二个子网中,除挖矿机(auto_opencl_amd, auto_miner)之外,还通报多个插件。

Plurox家属事实上是没有加密的,只要4字节的密钥用来举行通例的异或盘算。挪用C2效劳器的包以下所示:

模块化后门Plurox剖析

缓存中含有与包中的密钥XOR过的字符串。来自C2的相应中含有要实行的敕令,和实行的数据,是用XOR来加密的。插件加载后,僵尸主机来挑选须要的bitness并要求auto_procauto_proc64。相应音讯中含有一个加密的插件MZ-PE。

支撑的敕令

研究人员剖析的Plurox样本支撑7种敕令:

  • 运用WinAPI CreateProcess下载和运转文件;
  • 更新僵尸主机
  • 删除和住手(删除自在效劳、移除自动加载和删除文件,从注册表中移除项)
  • 下载和运转插件
  • 住手插件
  • 更新插件
  • 住手和删除插件

模块化后门Plurox剖析

插件

在监控过程当中,研究人员共检测到多个Plurox插件,下面一一举行剖析:

挖矿机插件

歹意软件能够依据特定系统配置在受害者盘算机上装置多品种的加密泉币挖矿机。僵尸主机会发送含有系统配置的包到C2效劳器,C2效劳器会相应含有要下载的插件信息。研究人员一共发明了8个挖矿模块,分别是:

浅谈轰炸漏洞攻防思路

最近做一些测试的时候遇到了挺多有意思短信轰炸的攻、防场景和思路,这里简单记录一下相关内容。 0x00 前期准备 在网站测试的过程中,常常在用户注册登录时出现手机号/邮箱注册,这里收集了较为流行的临时接收短信的网站,可用于测试。具体如下: https://www.pdflibr.com/ http://www.z-sms.com/ https://www.receive-sms-online.info/ [随机推送] https://yunduanxin.net/ [国内] http://www.smszk.com/ [国外] http://receive-sms-online.com/ [国外] https://smsnumbersonline.com/ [国外] https://www.freeonlinephone.org/ [国外] https://sms-online.co/receive-free-sms 与此同时,写了个爬虫整理了上面涉

  • auto_proc
  • auto_cuda
  • auto_miner
  • auto_opencl_amd
  • auto_gpu_intel
  • auto_gpu_nvidia
  • auto_gpu_cuda
  • auto_gpu_amd

UPnP插件

UPnP模块会从C2效劳器的/24的子网中吸收音讯,提取一切的IP地点,并查着实运用UPnP协定的路由器上以后选定的IP地点的135(MS-RPC)和445(SMB)端口举行转发。若是胜利,就申报效果给C2效劳器,并守候300秒(5分钟)然后删除转发的端口。研究人员预测该插件能够被用来进击当地收集。进击者只需要5分钟就能够对这些端口上运转的效劳的破绽应用举行排序。若是管理员注意到针对主机的进击,就会看到直接来自路由器的进击,而不是来自当地机械的进击。胜利的进击能够资助进击者在当地收集上驻足。

模块化后门Plurox剖析

依据形貌,除转发的端口是139之外,该插件和EternalSilence异常类似。Akamai之前对EternalSilence也有过剖析:

{“NewProtocol”: “TCP”, “NewInternalPort”: “445”, “NewInternalClient”: “192.168.10.165”,
“NewPortMappingDescription”: “galleta silenciosa“, “NewExternalPort”: “47622”}

下面是Plurox插件的模板:

<NewProtocol&rt;TCP</NewProtocol&rt;
<NewInternalPort&rt;%d</NewInternalPort&rt;
<NewInternalClient&rt;%s</NewInternalClient&rt;
<NewEnabled&rt;1</NewEnabled&rt;
<NewPortMappingDescription&rt;<strong&rt;galleta silenciosa</strong&rt;</NewPortMappingDescription&rt;

在上面的两个例子中,对应的处所都有标注。

SMB插件

SMB模块卖力运用EternalBlue破绽应用在收集上流传歹意软件。这与Trojan.Win32.Trickster的wormDll32模块是雷同的,然则代码中没有调试行,并且payload是用socket加载的。

模块化后门Plurox剖析

左: Plurox SMB插件注入的代码;右:WormDll注入的代码

模块化后门Plurox剖析

左:Plurox SMB插件NetServerEnum;右:Trickster WormDll NetServerEnum

从上面的样本剖析能够看出,不只注入的代码很类似,就连规范步调的代码也是类似的。基于此,研究人员以为剖析的样本是Trickster插件的代码是雷同的,这就注解Plurox和Trickster的创建者有某种联系关系。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明模块化后门Plurox剖析
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址