DDG挖矿僵尸收集病毒4004来袭 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

DDG挖矿僵尸收集病毒4004来袭

申博_安全防护 申博 82次浏览 已收录 0个评论

背景

近日,深佩服平安团队接到反应,某假造平台大批机械CPU占用异常高,疑心中了挖矿病毒。经由平安专家排查,发明还存在ssh爆破行动。进一步剖析后,推断其为DDG挖矿病毒。

DDG挖矿僵尸收集病毒4004来袭

DDG挖矿病毒(外洋称其为Linux.Lady)是一款在Linux体系下运转的歹意挖矿病毒,前期其主要经由过程ssh爆破,redis未受权接见破绽等体式格局举行流传,近年来其更新异常频仍,已涌现多个版本,本次捕获到的是4004版本。

详细剖析

本次其相对于以往的版本主要表现在其增加了2个破绽应用,分别为supervisord的长途敕令实行破绽CVE-2017-11610和nexus堆栈管理器的长途代码实行破绽CVE-2019-7238。

DDG初始进口点为一个下载剧本,主要依据机械的平台架构挑选对应版本的ddg二进制文件(i686和x86_64)

 建立定时使命实行耐久感染

再次尝试剖析以后,发明其i.sh文件内里的一些牢固位置的内容已随机变换了,能够从这方面开端相识到黑产的自动化

下载的是DDG的go言语编译的母体文件,其主要作用有建立保卫历程、建立后门、下载挖矿顺序挖矿、敕令实行这4个功用。

猎取用户home目次,在当前目次下天生一个.ddg的隐蔽文件夹,在该目次下天生一个bolt数据库文件4004.db,该数据库文件中保留对实行过的敕令举行纪录,保留集群节点信息。

DDG挖矿僵尸收集病毒4004来袭

个中,建立后门重如果将歹意顺序内置的ssh公钥写入考证秘钥文件中,完成免密登录:

使用QL和LGTM进行变异分析

在软件开发中,我们经常看到相同的代码错误在项目的生命周期中反复出现。这些相同的错误甚至会出现在多个项目中。有时,这些错误同时有多个活动实例,有时一次只有一个活动实例,但是它们不断地重新出现。当这些错误导致安全漏洞时,后果可能相当严重。 在本文中,我将解释如何使用QL的变异分析(variant analysis)来解决这个问题,并演示如何使用LGTM对你自己的项目进行变异分析。注意:本文使用的是真实存在的systemd示例。 相同的错误重复出现是一种正

敕令实行,衔接集群中的机械猎取设置信息:

然后对猎取到的设置信息举行解码猎取指令,指令解密以下。个中针对之前的systemdminer,有了针对性的匹敌,对其域名做重定向、kill对应历程以及文件做了消灭。

DDG挖矿僵尸收集病毒4004来袭

本次除了底本的ssh爆破以及redis未受权接见以外,新添加了2个破绽应用分别为CVE-2019-7238,CVE-2017-11610。能够看到在下发的设置文件中对ssh(22, 1987,2222)、redis(端口6379, 6389, 7379, 26379)和nexus(8081)举行扫描。

supervisord的长途代码实行破绽CVE-2017-11610

DDG挖矿僵尸收集病毒4004来袭

挖矿顺序/tmp/SzDXM,能够看到其编译于2019年8月29日

DDG挖矿僵尸收集病毒4004来袭

查询硬编码的钱包地点相干信息,现在该地点并没有太多的收益:

解决方案

病毒防备

深佩服平安团队再次提示宽大用户,注重一样平常防范措施:

· 实时给电脑打补丁,修复破绽。

· 对主要的数据文件按期举行非当地备份。

末了,发起企业对全网举行一次平安搜检和杀毒扫描,增强防护事情。

原文地点: https://www.4hou.com/system/20331.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明DDG挖矿僵尸收集病毒4004来袭
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址