NSA泄漏东西被用来流传加密钱银挖矿机 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

NSA泄漏东西被用来流传加密钱银挖矿机

申博_新闻事件 申博 203次浏览 已收录 0个评论

平常收集犯法和针对性进击的区分在于:平常收集犯法会将立即的经济目的作为重要效果,而针对性进击能够还会有其他的目的,比方盗取知识产权。另外,进击者的头脑形式也是差别的。平常的收集犯法分子须要斟酌怎样入侵更多的个人装备,而针对性进击须要设计怎样入侵和猎取企业收集的接见权限,并尽量地隐藏。

除此之外,针对性进击运动经常包含扩大性的设计以及高度专业化的创建和运用。另一方面,平常的进击者能够没有才能或资原本计划庞杂的进击运动,他们运用的东西越发通用,而且平常地下市场都有。

近期,研究人员发明了一同融会了针对性进击东西和通例收集犯法的大规模进击运动:进击者运用了之前在针对性进击中运用的庞杂进击来流传加密钱银挖矿机和讹诈软件如许的典范歹意软件。在该案例中,进击者运用了Shadow Brokers(影子经纪人)从Equation构造处盗取的东西包来入侵大批运转过期Microsoft Windows OS的机械。运用高等东西来流传差别范例的歹意软件是近来歹意软件生长的一个趋向。BlackSquid就运用了大批着名的破绽运用和破绽来开释加密钱银挖矿机。

该进击运动是收集犯法分子为了流传加密钱银挖矿机机来举行红利的。进击者运动的特性包含只针对企业,研究人员没有发明任何个人用户被进击的状况。其次,一切被进击的机械都运转着过期的Windows操作体系,由于这些操作体系依然遭到没有打补丁的平安破绽的要挟。除此之外,该进击运动还运用Equation构造的东西来流传加密钱银挖矿机。

感染和流传

研究人员检测到的二进制文件看似是Vools的一个变种,这是一个基于EternalBlue后门的木马,用来流传加密钱银挖矿机和其他歹意软件。研究人员在受感染的体系中还发明一些东西,重要有暗码盗取东西Mimikatz和Equation构造的东西。被入侵的体系中运用的final payload是一个加密钱银挖矿机。

研究人员现在还发明肯定感染源,但研究人员发明了一个装置器样原本发送HTTP要求到以下服务器:

log.boreye[.]com/ipc.html?mac={MAC address}&ip={IP address}&host={host}&tick=6min&c=error_33

然则现在以及没法从该URL处提取到任何挖矿机。而且现在该站点已没法接见了,也能够被进击者转移到了其他位置。

研究人员在一切被感染的机械的主Windows文件夹中都发明了一个文件:

C:\Windows\NetworkDistribution\Diagnostics.txt

该.TXT扩大的文件不仅仅是用来绕过检测。该文件事实上是一个含有许多文件的zip文件。另一方面,开释在目的机械上的DLL文件与泄漏的GitHub库中的文件夹的内容是一致的。

NSA泄漏东西被用来流传加密钱银挖矿机

图1. Zip文件中解压的文件

一切的文件都能够在互联网上找到。虽然他们运用的破绽已修复了,然则依然有一些体系没有运用这些平安更新。

加密钱银挖矿机

从2019年3月七,研究人员依据该进击运动中运用的哈希值共发明了凌驾80个差别的文件。一切这些文件都是开源XMRig挖矿机的变种,已被无数收集犯法分子所运用。

样本的设置显现有许多的加密钱银挖矿服务器,比方:

· coco[.]miniast[.]com:443

代码审计入门:MiniCMS详细分析

写在之前 MiniCMS体积小,代码短小易读,可以详细分析其执行流程。通过学习可以大致熟悉MVC框架的构造,对Web server的后台处理有一个基本了解。 简介 MiniCMS是由达达设计编写的一个针对个人网站设计的微型内容管理系统。它的特点是: 1. 不需要数据库在支持,只需要一个可以运行PHP的Web环境。 2. 只针对个人网站设计,没有复杂的成员管理和权限设置。 3. 没有分类只有标签,免除发布文章时到底该怎么分类的纠结。 4. 只有“文章”和“页面”两该个系统,没有“评论”、“插件”、“主题

· iron[.]tenchier[.]com:443

· cake[.]pilutce[.]com:443

· pool[.]boreye[.]com:53

另有一个没有出现在样本中的log.miniast[.]com。

前3个域名的注册日期为2019年3月17日,这也是进击运动最先的日期。这些域名都是匿名注册的,而稍早点的域名boreye[.]com的注册日期为2018年10月17日。连接到邮箱服务器是须要用户凭据的,然则提取新的哈希值只须要暗码就够了。

图2是进击者运用的挖矿机二进制文件的设置数据。

NSA泄漏东西被用来流传加密钱银挖矿机

注:暗码被移除了

图2. 加密钱银挖矿机二进制文件运用的设置文件

如图2所示,运用的用户名都很相似。而且都运用雷同的暗码,这也表明是统一进击者在处置惩罚这些样本。挖矿机也运用名dllhostex.exe。依据挖矿机变种的版本,二进制文件位于受感染Windows机械的system32或SysWOW64文件夹。

进击目的

该进击运动看似是广泛流传的,然则进击的目的位于世界各地。中国和印度是被进击数目最多的国度。这表明进击者并没有挑选特定的受害者。

NSA泄漏东西被用来流传加密钱银挖矿机

图3. 受害者国度分布图

该进击运动的进击目的行业触及教诲、通讯、媒体、银行、临盆和手艺等。进击者并没有针对特定行业,而是挑选进击没有打补丁的软件。大约有83%受感染的主机运转Windows Server 2003 SP2,其次是Windows 7 Ultimate Professional SP1和Windows XP Professional版本。

结论

总的来看,在进击运动中运用泄漏的庞杂进击是一种异常简单易行的要领。进击运动运用的东西、挖矿机等都在地下市场能够买到。进击的目的重如果没有实时打补丁的体系。因而,研究人员发起不管是个人用户照样企业用户,都要尽快更新到最新体系,并实时对体系打补丁。

原文地点: https://www.4hou.com/system/18585.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明NSA泄漏东西被用来流传加密钱银挖矿机
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址