Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

申博_安全防护 申博 49次浏览 未收录 0个评论

TrendMicro研究人员检测到一个流传含有门罗币挖矿机和Perl后门组件的僵尸收集的URL。研究人员发明这与Outlaw黑客构造之前进击运动中运用的要领一样。

研究人员在剖析中发明进击者运用了一个可实行的SSH后门,而且这些组件以效劳的情势装置来为歹意软件供应驻留。基于Perl的后门组件能够启动DDoS进击,许可犯罪分子经由历程供应DDoS即效劳和加密钱银挖矿机来运用僵尸收集赢利。

但研究人员以为该进击运动背地的进击者能够在测试和开辟历程,由于另有shell剧本组件在TAR文件中没有实行。

停止现在,研究人员监测到了来自中国的感染运动。

进击要领

数据显现歹意软件经由历程SSH暴力破解进击来猎取体系的接见权限,并实行两个能够的敕令文件。文件组件和要领与之前的剖析是一向的,剖析的样本中实行了.x15cache,bash剧本会下载歹意软件。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 1.经由历程SSH暴力破解进击机械

Shell剧本会下载、提取和实行挖矿机payload。提取的TRR文件包括含有剧本、挖矿机和后门组件的文件夹。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 2. 提取挖矿机payload和后门组件

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 3. 提取的TAR文件树

文件夹a含有cron和anacron二进制文件,是歹意软件运用的加密钱银挖矿机。其他的文件是担任挖矿机组件实行,消灭和删除其他体系中的合作挖矿机。文件夹b含有后门组件和shell剧本。

个中一个文件就说rsync,这是初始殽杂的基于Perl的shellbot,能够实行文件下载、shell cmd实行和DDOS如许的多个后门敕令。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 4. 殽杂的Perl剧本

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 5. 解殽杂的rsync代码段

Waterbug间谍组织不断扩充其武器库,还劫持了Oilrig黑客组织的基础设施

Waterbug间谍组织(又名Turla),是迄今为止最为高级的威胁组织之一,与俄罗斯政府的关系密切(该组织成员均说俄语)。自2007年以来,Waterbug一直处于活跃状态,并制造了许多轰动一时的大事件,比如2008年的Buckshot Yankee事件中攻击了美国中央司令部。这些年被Waterbug染指的组织不计其数,包括乌克兰、欧盟各国政府以及各国大使馆、研究和教育组织以及制药、军工企业等。 近段时间,Waterbug仍在持续对政府和国际组织开展着行动,除了工具变得越多越全之外,另一个值得关注的地方是,他们在一场行动中劫持了Crambus(又名OilRig,APT34)间谍组织的基础设施,可能意味着两个组织间存在的关联性。 三波攻击 最近Waterbug的行动可以分为三波,对它们进行区分的方式主要是依据工具集上的不同。其中一项行动中,有一个名为Neptun、之前从未见过(Backdoor.Whisperer)的新后门。Neptun

另一个文件ps,是一个作为SSH后门的Linux可实行文件。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 6. SSH后门

文件树显现文件夹c是空文件夹。它也含有多个二进制文件和shell剧本,但实行历程当中只要一些为你教案实行了。从蜜罐中猎取的样本来看,这说明进击运动正在测试或开辟阶段。研究人员以为将来进击者能够会运用这些没有运用过的文件。

剖析ps尝试衔接的URL,研究人员发明了含有压缩文件dota[.]tar[.]gz的mage[.]ignorelist[.]com。它含有x.15cache下载的TAR文件夹雷同的a和b文件夹,c文件夹含有文件tsm32和 tsm64,以及其他可实行文件和组件。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 7. 文件夹c

文件tsm32和tsm64是担任经由历程SSH暴力破解流传挖矿机和后门的扫描器,能够发送长途敕令来下载和实行歹意软件。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 8. tsm32

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 9. tsm32发送的长途敕令

.satan 文件是一个shell剧本,会将后门歹意软件以效劳的情势装置。在Linux中,以周期最先的文件是隐蔽的。

Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马

图 10. .satan 文件

结论

研究人员是从2018年最先发明Outlaw的进击运动的,研究人员注意到它很快从测试和开辟阶段到入侵了凌驾20万主机,个中也包括一些挪动装备。在该进击运动中,研究人员获得一些关于进击仍处于初期阶段的进击运动。经由历程入侵和感染体系能够使扩展其监听和扫描的才能,报告给C2效劳器,启动DDOS进击。

这些运用的手艺也被普遍运用,而且在地下市场在不断地交流。Outlaw融会了歹意加密钱银挖矿机和基于Perl的后门将受害者机械变成了僵尸收集和DDoS效劳。假如Perl装置在机械中,运用Perl编程言语作为后门能够确保歹意软件的灵活性,由于既能够在Linux操作体系也能够在Windows操作体系中运转。假如该代码出卖的话,代码的驻留、运用、修正和实行要越发简朴一些。

研究人员还注意到效劳器上保留的APK文件的存在,意味着假如犯罪分子决议除了感染效劳器外还会进一步举行进击,进击者能够会进击基于安卓的装备。

原文地点: https://www.4hou.com/web/18586.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Outlaw黑客构造经由过程僵尸收集流传挖矿机和木马
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址