Windows与Linux双平台无文件进击:PowerGhost挖矿病毒最新变种感染多省份_菲律宾申博官网 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

Windows与Linux双平台无文件进击:PowerGhost挖矿病毒最新变种感染多省份_菲律宾申博官网

申博_新闻事件 申博 98次浏览 已收录 0个评论

菲律宾申博官网

菲律宾申博官网开户简单方便,游戏种类繁多,现推出手机客户端app,在申博官网即可下载,随时随地体验游戏带来的精彩!

,

背景

PowerGhost是从2018年被发明运用powershell无文件体式格局举行进击感染的挖矿以及DDOS病毒,本次深佩服平安团队捕获到其最新样本,其感染体式格局应用了永久之蓝,MSSQL爆破,SSH爆破,wmi以及smb爆破长途敕令实行等,同时对windows和linux举行进击,一旦该病毒进入内网,会在内网敏捷流传。现在其重要感染区域在广东、浙江、上海以及江苏。

详细剖析

该病毒母体模块分为2个版本,x86和x64,x86运用antitrojan.ps1,x64运用antivirus.ps1,本次剖析x64版本的antivirus.ps1。

当前病毒版本为1.5。

母体payload散布以及实行图,antivirus.ps1中重要分为3个部份,以下图:

第一段payload,开首部份以下:

Invoke-WmiExec以及Invoke-SmbExec长途敕令实行。

永久之蓝应用,$sc为shellcode,重要从网上下载歹意剧本举行感染。

SSH爆破,加载的SSH模块Rence.SshNet。

MSSQL爆破。

跟着近来收集加密钱银升值,会有更多的黑产将注意力转到挖矿,其挖矿流量以下,到现在为止该地点已赚取了3个币。

Middle部份,一段殽杂的代码,重要功能实行第一段payload。

第二段payload,也是殽杂过的,部份内容以下。重要建立两个定时使命,变动电源设计,建立netbc的ipsec战略封堵445端口(防备被其他病毒应用),建立一个wmi耐久使命。

逃避检测功能加强:Google Play上发现的49个新型广告恶意软件分析

概述 近期,我们在Google Play上发现了49个新型广告恶意软件应用程序,它们被伪装成游戏或流行相机。这些应用程序都是典型的广告恶意软件,隐藏在移动设备中,以显示广告内容,同时具有防止卸载和逃避检测的功能。目前,这些应用程序已经下架,但在被Google下架之前,其下载总数已经超过300万。 根据最近发生的事件,我们看到了移动端广告类恶意软件的持续增长趋势,这些应用程序也采用独特的技术来逃避检测。对于移动运营商来说,这些广告恶意软件应用程序一直是一个长期存在的问题。此前,Google曾多次

当PowerGhost胜利爆破ssh以后,就会下载shell举行病毒的更一步植入。

当前Linux版本为1.2版本,前面举行信息的初始化,声明C2地点和默许下载目次、以及文件hash,文件校验体式格局等:

temp_remote_host: 长途地点

sodd_info_arr:  DDoS木马

tiktoor_info_arr:  brootkit后门

pxe_info_arr:  CVE-2016-5195内核提权源码以及顺序及其hash

DownloadPath=”/usr/lib/…”  默许下载途径

Ver=1.2 当前版本

Shell_privilege=1 当前shell默许权限

OsType=1 体系范例默许为Centos系列

Verify_method=”md5sum” 下载文件校验体式格局,默许运用md5

全部Linux端PowerGhost实行流程以下:

1、举行初始化。

2、检测实行参数是不是为/sbin/init。

3、杀死本身雷同历程名的shell历程或许挖矿历程(WorkProc “shell” “$ShellProceName”)。 本例$shellProceName=”diskmanagerd”。

4、运用ssh举行横向流传。

5、检测当前是不是为root权限,假如是则检测平安产品,建立启动项,装置rootkit(brootkit),不然运用CVE-2016-5195(脏牛破绽)举行提权。

Install.sh。

Brootkit.sh会对文件隐蔽,历程隐蔽,挟制敕令(ps, ls, dir, netstat)等。

6、进入轮回,检测更新,下载实行billgats木马,消灭挖矿历程,休眠守候下次轮回。

防护发起

1、打上永久之蓝补丁;

2、封闭135,139,445等端口,假如没有营业必要,发起封堵;

3、不要运用域管账号随便登录域内机械,域内机械暗码应互不雷同;

4、将暗码变动为强暗码;

5、修补CVE-2016-5195。

原文地点: https://www.4hou.com/info/news/21519.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明Windows与Linux双平台无文件进击:PowerGhost挖矿病毒最新变种感染多省份_菲律宾申博官网
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址