17年的XHide被用于流传shellbot和XMRig | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

17年的XHide被用于流传shellbot和XMRig

申博_行业观察 申博 72次浏览 未收录 0个评论

Trend Micro蜜罐体系检测到扫描开放端口、暴力破解弱凭据、装置门罗币加密钱银挖矿和基于Perl的IRC后门作为final payload。挖坑历程运用XHide Process Faker来举行隐蔽,这是一个有17年汗青的开源东西用来捏造历程名。

研究人员剖析发明进击者经由过程发布敕令到有破绽的机械来下载和装置后门和挖矿机。装置的后门为Shellbot,能够扫描开放端口、下载文件、实行UDP洪泛进击,而且能够长途实行shell敕令。用2个payload来感染装备红利可能性更高,因而歹意进击者能够用shellbot和挖矿机来举行赢利。受影响到地区包含日本、巴西、中国、土耳其等。

Routine

歹意软件会扫描开放端口和弱凭据来入侵机械,然后发送敕令来下载名为sshd2和findz的基于Perl的IRC Shellbot,shellbot会下载和提取so3来用挖矿机来感染体系。

17年的XHide被用于流传shellbot和XMRig

图1. sshd2 Shellbot的代码段

17年的XHide被用于流传shellbot和XMRig 图2. Findz感染链

解压缩so3文件后,研究人员发明个中含有以下剧本:

“x”, 实行a的bash剧本

“a”, 实行以下的bash剧本:

· 开释upd,作为挖矿历程监控的shell剧本

红蓝匹敌攻防实战:寻觅COM对象

概述 渗透测试人员、红蓝对抗的蓝军(攻击方)、恶意行动者经常会选择COM对象来实现横向移动。此前,一些安全研究人员陆续针对COM对象开展研究,包括Matt Nelson(enigma0x3)在2017年发表了一篇关于COM对象的博客文章。其中,一些COM对象也被添加到了Empire项目中。为了提升红蓝对抗中蓝军的具体实践,FireEye也针对Windows 7和Windows 10操作系统上的可用COM对象开展了研究。我们发现了几个有趣的COM对象,可以允许任务调度、无文件下载并执行、命令执行。尽管这些对象本身不是安全漏洞,

· 设置每分钟实行upd的cron tab

· 实行r

17年的XHide被用于流传shellbot和XMRig

图3. 开释的实行r的upd文件

 “r”, 依据受感染机械的CPU架构来实行e或f的剧本:

“e” 就是XHide,经由过程重命名/www/vhosts来隐蔽32位门罗币挖矿机二进制文件systemd。歹意软件中运用的XHide东西的哈希值与之前Outlaw进击中的一样。

“f” 也是Xhide,经由过程重命名/www/vhosts来隐蔽64位门罗币挖矿机二进制文件kthreadd。

 17年的XHide被用于流传shellbot和XMRig

图4 Xhide无参数实行

“httpd” 是挖矿机的配置文件,运用了Apache web效劳器的正当文件。

结论

运用基于Perl的IRC bot并不少见,Outlaw之前在很多进击运动中都运用了它,而且用于构建歹意bot的代码网上也有。运用Xhide东西也是一样的要领。虽然这些手艺和东西已都涌现过了,然则将这些进击要领夹杂起来对运用弱凭据的体系依然是有用的。经由过程监控能够发明挖矿机的CPU运用率异常高,歹意挖矿机因为后门的原因被移除后进击者依然能够接见受感染的体系。经由过程开释Shellbot和挖矿机,进击者能够最大化赢利。将shellbot作为僵尸收集即效劳,将挖矿机作为收入生成器,进击者就能够经由过程进击运动来猎取更大的好处。

原文地点: https://www.4hou.com/encrypted/19334.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明17年的XHide被用于流传shellbot和XMRig
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址