挖矿木马WatchBog新变种来袭,应用多款东西新破绽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

申博_安全防护 申博 184次浏览 已收录 0个评论

本文要点

· Intezer平安团队于近日发明了一个新版本的WatchBog挖矿木马,据推想从本年6月以来已累计损坏凌驾4,500台Linux机械。

· 此版WatchBog应用了数个新表露的破绽,还增添了BlueKeep RDP协定破绽扫描器模块,表明背地的进击者正在收集易受进击的体系列表,以便将来应用或出售给第三方取利。

· 如今,一切平安供应商都未检测到此歹意软件。

· 在这篇文章中,我们为Windows和Linux用户供应了防备和响应提议,别的还供应了一个YARA署名,用于检测相似的要挟。

引见

WatchBog于2018年11月出如今民众视野中,它应用已知的破绽来损坏Linux效劳器。阿里云对此曾做过纪录。

WatchBog的上一份研讨报告还停止在数月前,这段时候内,它又经由历程新的流传模块来晋级注入顺序,增添了对效劳器的掩盖局限。而我们发明的此版WatchBog,还应用了数个近期公然的破绽——包含Jira的CVE-2019-11581(就在破绽宣布后12天),Exim的CVE-2019-10149和Solr的CVE-2019-0192 ,同时还增添了一个BlueKeep扫描器。

BlueKeep,也称为CVE-2019-0708,是一个Windows内核破绽,能让进击者在软弱的体系上猎取RCE。从Windows 2000到Windows Server 2008,再到Windows 7,未补丁的Windows版本中均存在此破绽。

如今还没有已知公然的PoC可用此破绽来取得RCE,也没有在野外发明任何此类进击。这个扫描器模块的涌现表明进击者正在收集体系列表,好用于将来的进击当中,

Jira、Solr和BlueKeep的破绽扫描模块都是在13天内增添的,申明WatchBog近来可以在加快新功能的整合,再次印证了“破绽从暴光到被黑产的时候越来越短”。

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图1.VirusTotal检测效果

把样本上传到Intezer的剖析体系后,可以看出,在对文件举行逆向工程之前就已显现出与WatchBog大批代码重叠了。

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图2.Intezer剖析体系显现效果

在研讨样本中的新增添的模块时,我们发明了它设想上的一个缺点,许可我们举行“中间人”进击、剖析二进制文件。下面临该模块举行剖析。

手艺剖析

感染历程与阿里云之前纪录的相似:进击者在打仗目的后运转初始布置剧本,剧本经由历程crontab设置持久性,并从Pastebin下载加密钱银挖矿机。

值得注意的是剧本的末端部份:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

以WatchBog的典范套路,剧本会先从Pastebin下载一个base64编码的payload,以此下载组件并实行:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

但此版中下载的不是另一个挖矿机,而是新的spreader模块。

乍看之下,下载的是一个简朴的动态链接ELF可实行文件,但最先剖析后就会发明发明它现实上是一个Cython编译的可实行文件。

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图3.Cython编译的二进制文件

关于Cython,有文章曾描陈述:

Cython是一个优化的静态编译器,它能将.py模块转换成高性能的C文件。天生的C文件可以毫不费力地编译到本机二进制库中,且编译完成后,没有办法将编译库反转回可读的Python源代码!

然则,此编译后的二进制文件照样透露了原始Python模块的一些线索:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

初始化历程

此二进制文件一最先会在/tmp/.gooobb处建立一个文件,在该文件中将其历程标识符(pid)写为歹意软件实行的萍踪。当此文件存在时,后续启动spreader将失利。

然后从Pastebin中检索其C2效劳器:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

此二进制文件中,还硬编码了洋葱(.onion)C2效劳器地点作备用。

我们可以依据对Pastebin链接的接见次数来预计受感染的受害者数目:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

挖矿木马WatchBog新变种来袭,应用多款东西新破绽挖矿木马WatchBog新变种来袭,应用多款东西新破绽

如上所示,我们推算大约有4,500个端点受到感染。因为WatchBog在6月5日(这些链接在Pastebin的上传日期)之前也一向处于运动状况,现实感染数可以比这要多。

二进制文件将起首尝试连接到个中一个可用的静态C2效劳器。

同时我们观察到,C2效劳器的证书已过期。

一般,HTTPS客户端会搜检与之交互的SSL证书,但是WatchBog并非如此。我们假定WatchBog客户端在运用HTTPS时没有考证证书,不然它将谢绝与C2通讯。

这个破绽许可我们用我们本身的证书设置一个通明的HTTPS代办,并提议一个“中间人”进击来剖析WatchBog SSL/TLS流量:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

二进制文件以后会为受害者天生唯一密钥,并在此密钥下向C2发送初始音讯。下面的图像是一个SSL / TLS解密流量中请乞降响应的payload示例:

iPhone蓝牙流量泄漏手机号码等主要信息

如果你的苹果设备蓝牙是开启的状态,那么附近的所有人都可以获取你的设备状态,观看设备名、WiFi状态、操作系统版本、电池信息,甚至可以获取你的手机号。 简介 Apple设备以互联生态而著称:即在一个设备上使用一个APP后可以再另一个设备上可以继续使用该APP。同时可以再离线的情况下访问你的文件。这好像与苹果的“What happens on your iPhone, stays on your iPhone”策略是相悖的,但是吗? 首先看一下苹果的隐私策略是如何工作的。 Wireless. Wireless everywhere. 如果你想与朋友分享照

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

这些数据包被编码殽杂过。在剖析历程当中,我们肯定了运用的编码算法,并编写以下剧本解码payload:

final = ""
arr = input()
 
for a in arr:
  stri = "begin 666 \n{0}\n \nend\n".format(a) \
            .decode("uu").strip('\x00') \
            .decode("hex") \
            .decode("base64")
final += chr(int(stri))
print(final[::-1])

向C2发送的初始音讯里,包含了受感染端的体系信息:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

信息将被合并和散列,以构建CNC中托管的WatchBog API的途径。效劳器复兴“task”,让僵尸收集在目的列表上实行:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

BlueKeep扫描器

此版WatchBog好像已集成了一个RDP扫描顺序,能找到含有BlueKeep破绽的Windows机械。此扫描顺序是来自Github zithosum0x0的扫描顺序的Python端口,我们是依据函数称号的相似性举行评价的:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

然后扫描器将从CNC供应的IP列表中查找RDP效劳器:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图4.WatchBog扫描RDP端口

RDP的默许Windows效劳端口是TCP 3389,可以依据“Cookie: mstshash=”在数据包中轻松辨认。

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

我们可以观察到字符串’watchbog’作为了RDP mstshash字段的用户名。

在RDP扫描的IP列表中,我们发明一些IP地点属于澳大利亚沃达丰(一家跨国性的移动电话营办商)和腾讯的基础设施。

扫描完毕以后,WatchBog客户端会返回一个易受进击的IP地点列表,列表经由RC4加密,以十六进制字符串编码:

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图5.加密的IP地点

申明WatchBog背地的参与者可以正在收集含有此BlueKeep破绽的Windows端点列表,要么供将来运用,要么出售给第三方取利。

流传

此版WatchBog应用了以下五个CVE破绽:

· CVE-2019-11581 (Jira)

· CVE-2019-10149 (Exim)

· CVE-2019-0192 (Solr)

· CVE-2018-1000861 (Jenkins)

· CVE-2019-7238 (Nexus Repository Manager 3)

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图6.可用的“pwn”模块

别的,另有两个用于bruteforce CouchDB和Redis实例的模块,以及完成RCE的代码。

一切“pwn”模块都许可进击者完成长途代码实行。

一旦发明响应破绽,二进制文件就会挪用准确的破绽应用,并装置托管在Pastebin上的歹意bash剧原本进一步流传。

我们可以找到上传到HybridAnalysis的spreader模块的初期测试版本,包含了Solr CVE-2019-0192,以及ActiveMQ CVE-2016-3088的应用代码,以及一个在破解的Redis实例上取得代码实行的模块。

挖矿木马WatchBog新变种来袭,应用多款东西新破绽

图7.Solr破绽应用代码

结论

研讨近来的WatchBog我们发明,它仍在高速发展中,现阶段WatchBog是经由历程整合新宣布破绽和革新感染历程来坚持先进性。

须要强调的是,假如Python歹意软件是与Cython等引擎一同布置当地的,那末对它的剖析就会变得越发难题,这点与其他Python原生框架(如pyinstaller)有所差异。

别的,Linux僵尸收集与BlueKeep扫描器的整合也可以表明WatchBog正在差别的平台上探究讹诈的时机。

防备和回响反映

提议您将相干软件更新到最新版本:

· Windows用户参考Microsoft的客户指南,以减缓BlueKeep破绽。

· 运用Exim、Jira、Solr、Jenkins或Nexus Repository Manager 3的Linux用户更新到最新版本。

· 运用Redis或CouchDB的Linux用户确保没有在受信托收集以外公然的开放端口。

· 疑似感染了WatchBog的Linux用户搜检是不是存在“/tmp/.tmplassstgggzzzqpppppp12233333”文件或“/tmp/.gooobb”文件。

我们还依据WatchBog的歹意代码建立了一个自定义YARA划定规矩。


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明挖矿木马WatchBog新变种来袭,应用多款东西新破绽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址