从Web蔓延到内网,BuleHero最新变种来袭 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

从Web蔓延到内网,BuleHero最新变种来袭

申博_新闻事件 申博 27次浏览 已收录 0个评论

近日,深佩服防火墙监测到大批装备要求歹意域名cb.fuckingmy.life,该域名注册于本年8月,经深佩服平安团队排查,确以为BuleHero木马最新变种的C&C效劳器。平安专家对捕获到的木马文件举行了详细分析,该变种行动与本年6月份的变种行动类似:去掉了LNK模块,更换了C&C域名和一些进击组件的名字,但比较迥殊的是,该变种最先经由历程Web自动化进击东西举行流传。

从深佩服防火墙上的进击日记上来看,阻拦了大批的敕令注入进击,离别应用以下2种破绽举行进击:structs2长途敕令实行破绽、thinkphp5.X敕令实行破绽。

体式格局1,经由历程structs2长途敕令实行破绽下载实行病毒母体:http://cb.fuckingmy.life/download.exe。

体式格局2,经由历程thinkphp5.X敕令实行下载实行病毒母体:http://fid.hognoob.se/download.exe。

详细分析

起首,应用破绽建立一句话木马hydra.php。

然后,经由历程该木马下载运转病毒母体download.exe。

从日记的数目以及特性来看,能够推断出这些Web进击是一个自动化的历程,也就是说BuleHero正应用一些Web破绽自动化东西举行流传。

猎取到病毒样本download.exe后,发现该样本的编译时候为8月26号,是近来编译的。病毒母体名字照样延用着4月份版本的download.exe。

BuleHero家属的病毒相干信息很轻易猎取。由于BuleHero运转后都邑先从C&C效劳器上读取设置信息,所以,只需剖析该设置文件cfg.ini,就可以大抵提取出症结信息。症结信息见下图:

病毒流程图:

[1] 病毒母体download.exe开释随机名后门并注册成效劳WervPoxySvc,与C&C效劳器46.178.218.80举行通讯。

[2] 从cb.fuckingmy.life下载东西包naplmhost.exe并运转。

[3] 开释Xmrig挖矿顺序最先挖矿。

[4] 开释流传进击模块blwljzt.exe并注册成效劳eunttzfwu最先进击。

[5] 开释mimikatz、TCP扫描器、永久之蓝东西等组件举行流传进击。

[6] 改动注册表封闭防火墙、Defender、Windows自更新等效劳。

病毒母体download.exe

自剑桥分析丑闻以来,Facebook遭遇的又一严重数据泄漏事件

今年是Facebook成立15周年,现在它的月度用户量已经达到23.2亿,什么概念呢?相当于全球46.7%的互联网用户每月都在使用Facebook的应用程序,或者占全球总人口23%的人在使用它,足以显示它在全球的受欢迎程度。 这意味着Facebook拥有海量数据,而且增长很快,单机数据库完全无法满足这种需求。因此, Facebook的数据库服务器有成千上万台。目前可知,这些数据被用于各种分析,而这势必会带来安全隐患。 根据今天国外媒体的爆料,一个存储了数以亿条与Facebook帐户关联的电话号码数据库

病毒母体运用MFC编写,并加了UPX壳。

病毒运转后,主要征象为挖矿、后门通讯,以及横向流传。

从Web蔓延到内网,BuleHero最新变种来袭

后门模块rxtrust.exe

自复制到system32目次的随机名文件,并注册成WervPoxySvc效劳完成开机自启动,然后与C&C效劳器46.173.217.80 : 51888举行通讯,现在该C&C效劳器端口已封闭。

流传模块blwljzt.exe

流传模块起首将本身注册成效劳eunttzfwu,然后开释流传东西到C:\Windows\ciztbfwfu,为3个文件夹:Corporate、tbbsgbzgt、UnattendGC,顺次包括抓暗码东西、TCP扫描东西、永久之蓝进击东西。

从Web蔓延到内网,BuleHero最新变种来袭

vfshost.exe为mimikatz抓暗码东西,bulehero会经由历程抓取主机暗码完成内网横向流传。

从Web蔓延到内网,BuleHero最新变种来袭

fttadbnnk、ifvtknkif离别为ip扫描器和端口扫描器,目标是用来猎取开启了445端口的主机IP。

UnattendGC寄存的则是我们熟习的永久之蓝进击东西包。

从Web蔓延到内网,BuleHero最新变种来袭

挖矿模块cjltps.exe

挖矿模块运用的是Xmrig顺序,挖矿流量以下,矿池效劳器IP为46.173.217.80。

该IP关联着以下域名,这些均是BuleHero运用的域名。

从Web蔓延到内网,BuleHero最新变种来袭

解决方案

深佩服平安团队提示宽大用户,注重一样平常防范措施:

1、实时给电脑打补丁,修复破绽。

2、对主要的数据文件按期举行非当地备份。

末了,发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

原文地点: https://www.4hou.com/system/20175.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明从Web蔓延到内网,BuleHero最新变种来袭
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址