基于Golang的加密钱银挖矿歹意软件进击运动 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

基于Golang的加密钱银挖矿歹意软件进击运动

申博_新闻事件 申博 59次浏览 已收录 0个评论

Golang也称Go,是一种开源的编程言语。Trend Micro研究职员在剖析6月的一同进击运动时发现该言语被用于流传加密钱银挖矿机。该进击运动中运用的流传器能够扫描运转着有破绽软件的机械来举行流传。该进击运动的进击链以下:

基于Golang的加密钱银挖矿歹意软件进击运动

图1. 进击感染链

技术细节

基于Golang的流传器

歹意软件会寻觅多个进击进口来将歹意软件流传到其他的体系中。在该进击运动中,进击者运用了经常使用的SSH效劳和多个其他破绽运用。进击运动运用了基于Golang的流传器来扫描:

· SSH

· Misconfigured Redis server

· ThinkPHP exploit

· Drupal exploit

· Atlassian Confluence server (CVE-2019-3396)

图2是扫描Redis端口的流传器代码。

基于Golang的加密钱银挖矿歹意软件进击运动

图2. 显现运用Redis的代码

除了运用毛病设置的Redis端口外,歹意软件还能够经由过程有破绽的web运用,主如果ThinkPHP和Drupal,来感染效劳器。下图中的代码表明能够扫描Atlassian’s Confluence效劳器的破绽CVE-2019-3396,该破绽之前被爆用于流传加密钱银挖矿歹意软件。

基于Golang的加密钱银挖矿歹意软件进击运动

图3. 运用多个破绽的代码

末了,歹意软件会经由过程SSH端口来举行流传,以下图所示。

基于Golang的加密钱银挖矿歹意软件进击运动

图4.运用SSH来举行流传的代码

其他组件

歹意软件感染体系后,会连接到Pastebin来下载开释器组建。然后开释器会从下载文件mysqli[.]tar[.]gz,并从中提掏出一个TAR文件。该TAR文件中含有加密钱银挖矿机payload、基于Golang的扫描器和其他必要组件,比方:

基于Ghidra和Neo4j的RPC剖析手艺

对于我来说,寻找新型的横向渗透方法或有趣的代码执行技术是一种消磨时光的好方法。由于Windows在启动时会生成大量的RPC服务,所以,在寻找与众不同的代码执行技术的时候,难度会直线下降。通常来说,这些活动的投入产出比还是非常客观的,因为SOC或EDR供应商往往专注于更常见的已公之于众的技术,而能够在主机上触发代码执行的新方法的问世可能会给调查团队的工作带来麻烦。 在以前的文章中,我试图找出能够用于混合常见攻击签名的不同方法。自从撰写探索Mimikatz和lsass内部机制的文章以来,我收到了许多关于如何找到所展示的lsass DLL加载技术以及如何识别其他技术方面的信息的请求。所以,在这篇文章

· 挖矿机组件的设置文件

· 实行挖矿机和扫描器的Trojan.SH.SQUELL.CB

· 基于Golang的扫描器

· 挖矿机

· 用来肯定歹意软件装置状况的文件

除了实行挖矿机和扫描器外,Trojan.SH.SQUELL.CB还会实行很多其他的行动。它会尝试经由过程SSH来感染其他体系,禁用平安东西,并消灭敕令汗青和日记。还能够经由过程阻拦收集流量、杀掉其他历程来kill掉其他合作的加密钱银挖矿运动。歹意软件还会在体系中以效劳的情势装置来完成驻留。还会设定一个cron使命来从Pastebin下载和实行最新版本的歹意软件。一切的运动以下图代码所示:

基于Golang的加密钱银挖矿歹意软件进击运动

图5. 运用SSH感染其他体系的代码

基于Golang的加密钱银挖矿歹意软件进击运动

图6. 歹意软件禁用平安东西的代码

基于Golang的加密钱银挖矿歹意软件进击运动

图7. 运用敕令来消灭汗青和日记的代码

 基于Golang的加密钱银挖矿歹意软件进击运动

图8. 歹意软件清算体系中其他挖矿机的代码

基于Golang的加密钱银挖矿歹意软件进击运动

图9. 歹意软件完成驻留的代码

总结和发起

基于Golang的剧本和歹意软件已不是第一次用于进击运动了。5月份就有一款基于Golang的流传器用于另一个加密钱银挖矿歹意软件。之前Malwarebytes也报导过Go言语被用于数据盗取器歹意软件。

Go言语为收集犯罪分子供应了一个跨平台的开辟要领,开辟的歹意软件既能够感染Linux主机也能够感染Windows主机。但这些特性对编程言语来讲并非唯一的。对平安剖析职员来讲,基于Golang的歹意软件更难剖析,由于与其他言语比拟,该歹意软件在歹意软件中的运用比较少。

用户能够经由过程增强收集平安和防护的体式格局来削减相似进击运动的有效性。研究职员发起:

· 实时运用必要的平安补丁和更新;

· 关注进击者用来流传歹意软件的要领并举行针对性地防护;

· 修正体系和装备设置来防备非受权的接见。

本文翻译自:https://blog.trendmicro.com/trendlabs-security-intelligence/golang-based-spreader-used-in-a-cryptocurrency-mining-malware-campaign/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明基于Golang的加密钱银挖矿歹意软件进击运动
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址