WannaMine再晋级,摇身一变成为军火商 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

WannaMine再晋级,摇身一变成为军火商

WannaMine是个“无文件”僵尸收集,在入侵过程当中无任何文件落地,仅仅依托WMI类属性存储ShellCode,并经由过程“永久之蓝”破绽进击兵器和“Mimikatz+WMIExec”进击组件停止横向渗入渗出。相比较其他挖矿僵尸收集,WannaMine运用更加高等的进击手腕,这也是WannaMine能够或许存活至今的缘由之一。WannaMine最早涌现在民众视野是2017岁尾,在对WannaMine的延续跟踪中360剖析职员发明,WannaMine能够曾经最先为其他黑客构造供应兵器。                                       

WannaMine再晋级,摇身一变成为军火商 WannaMine再晋级,摇身一变成为军火商

图1 WannaMine进击简图

自WannaMine涌现到2018年3月的这段时候中,WannaMine较为寂静,仅仅替换了频频载荷托管地点。2018年3月起,WannaMine最先进击搭建于Windows操作系统上的Web服务端,包孕Weblogic、PHPMyAdmin、Drupal。图2展现了WannaMine在2018年2月到4月载荷托管地点和进击目标的转变。

WannaMine再晋级,摇身一变成为军火商 WannaMine再晋级,摇身一变成为军火商

图2 WannaMine在2018年2月至4月载荷托管地点与进击目标的转变

由于3月份的此次更新使WannaMine增添了进击目标,其掌握的僵尸机数目也随之大幅度增添。僵尸收集范围的扩大使僵尸收集掌握者急于将好处最大化,果不其然,WannaMine在6月份的更新以后涌现了为其他黑客构造工作的迹象,这能够从一个表格表现出来。表1展现了WannaMine自2018年2月以来的载荷托管ip地点和事先剖析到该ip地点的域名(表格按时候前后从上往下分列)。

WannaMine再晋级,摇身一变成为军火商 WannaMine再晋级,摇身一变成为军火商

表1 

从表格中不难看出,晚期WannaMine所运用的载荷托管ip地点常常转变,而且经由过程域名反查失掉的域名都是分歧的,这表明WannaMine能够运用僵尸收集中的某一台僵尸机用于托管载荷,每次停止更新后,WannaMine就替换一台托管载荷的僵尸机。自107.148.195.71这个ip地点以后,WannaMine运用的一连4个载荷托管地点都是域名d4uk.7h4uk.com所剖析到的地点,这类状况在之前是不存在的。而这个时候恰是6月份WannaMine停止更新的时候节点,这在360安全卫士每周安全形势总结中提到过。在此次更新中,WannaMine应用Weblogic反序列化破绽进击服务器后植入挖矿木马和DDos木马。值得一提的是,此次WannaMine还运用了方才面世不久的Wmic进击来bypass UAC和隐匿杀毒软件的查杀。

WannaMine再晋级,摇身一变成为军火商 WannaMine再晋级,摇身一变成为军火商

图3 WannaMine 6月份提议的进击流程

———————————————-

申博|网络安全巴士站【www.bus123.net】

申博|网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。。

———————————————-

在WannaMine的此次更新中存在了多个疑点,这些疑点表示此时的WannaMine掌握者能够与之前的显着分歧:

1.WannaMine在3月份到4月份曾经提议大范围针对Weblogic服务端的进击,僵尸收集曾经掌握了很多Weblogic服务端,为安在6月份的更新以后还要对Weblogic服务端提议进击。

2.为什么自6月份以来WannaMine的载荷托管域名都是d4uk.7h4uk.com。

经由过程对域名d4uk.7h4uk.com的跟踪能够发明,该域名在2018年4月中旬最先被一个黑客构造运用,这要远早于WannaMine对该域名的运用,而该黑客构造在进击手段和目标上也与WannaMine天差地别。该黑客构造经由过程Weblogic反序列化破绽CVE-2018-2628入侵服务器,往服务器中植入DDos木马。DDos木马的载荷托管地点为hxxp://d4uk.7h4uk.com/w_download.exe,这与WannaMine开释的DDos木马的托管地点符合。

WannaMine再晋级,摇身一变成为军火商 WannaMine再晋级,摇身一变成为军火商

图4 该黑客构造运用的进击代码

固然载荷托管地点与以后WannaMine运用的载荷托管地点相反,然则4月中旬的进击中所有进击文件都是落地的而且没有WannaMine代码的陈迹,其借助sct文件完成延续驻留的体式格局也和WannaMine借助WMI完成延续驻留的体式格局有所分歧。能够判断,这来自于与WannaMine分歧的另一个黑客构造。

别的,从WannaMine 6月份更新后的代码特性也不难发明,其代码停止了稍微修正,到场了RunDDOS、KillBot等多个函数,这些函数被插入了之前多个版本中都未被修正过的fun模块(fun模块用于停止横向渗入渗出),而且与fun模块的原始功用异常不搭,另外 RunDDOS中将DDos木马间接开释到磁盘中,这也与WannaMine作风不符。能够揣摸,此次代码的修改多是为其他黑客构造供应一个定制化的进击组件。

WannaMine再晋级,摇身一变成为军火商 WannaMine再晋级,摇身一变成为军火商

图5 RunDDos函数内容

经由过程上述剖析,能够总结出WannaMine 6月份更新以后的两个特性:1.运用一个其他黑客构造1个多月前运用过的载荷,而且此次更新运用的载荷托管地点和载荷文件都与该黑客构造有关;2.更新后到场的代码地位、代码内容与之前的作风不符,有暂时定制化的能够。经由过程这两个特性能够揣摸,WannaMine曾经最先为其他黑客构造供应兵器。

结语

让掌握的僵尸收集完成更多的好处产出是每一个黑客构造希冀的效果,WannaMine的目标也是云云。高等僵尸收集商业化关于防御者而言是一种应战,由于防御者将会碰到越来越多运用其高明手艺的黑客构造。WannaMine的高明的中央,在于其隐藏而又有用的横向渗入渗出手艺,这将是防御者在匹敌WannaMine以致运用WannaMine的黑客构造须要注重的中央。

如若转载,请说明原文地点: http://www.4hou.com/info/news/12213.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明WannaMine再晋级,摇身一变成为军火商
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址