您好,登錄后才能下訂單哦!
這期內(nèi)容當(dāng)中小編將會(huì)給大家?guī)碛嘘P(guān)如何解析基于Linux和Window雙平臺(tái)新型挖礦病毒,文章內(nèi)容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
這是一款近期非常流行的挖礦病毒,基于Linux和Windows雙平臺(tái),主體程序都是使用GO語言進(jìn)行編寫的,并通過多個(gè)漏洞進(jìn)行傳播,估計(jì)國(guó)內(nèi)已經(jīng)有不少服務(wù)器被感染,筆者最近一段時(shí)間發(fā)現(xiàn)它更新了,并捕獲到它的最新的腳本,通過分析,下載服務(wù)器URL地址為:
https://us.gsearch.com.de/api/sysupdate
http://209.182.218.161:80/363A3EDC10A2930D/sysupdate
https://us.gsearch.com.de/api/update.sh
http://209.182.218.161:80/363A3EDC10A2930D/update.sh
https://us.gsearch.com.de/api/config.json
http://209.182.218.161:80/363A3EDC10A2930D/config.json
https://us.gsearch.com.de/api/networkservice
http://209.182.218.161:80/363A3EDC10A2930D/networkservice
https://us.gsearch.com.de/api/sysguard
http://209.182.218.161:80/363A3EDC10A2930D/sysguard
相應(yīng)的配置文件挖礦地址和錢包地址,如下所示:
cryptonightr.usa.nicehash.com:3375
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.usa
cryptonightr.eu.nicehash.com:3375
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.eu
cryptonightr.jp.nicehash.com:3375
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.jp
cryptonightr.hk.nicehash.com:3375
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.hk
cryptonightr.br.nicehash.com:3375
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.br
cryptonightr.in.nicehash.com:3375
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.in
xmr.f2pool.com:13531
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.nice
腳本的功能主要是結(jié)束其它挖礦程序,然后從服務(wù)器上下載三個(gè)主要的程序:sysupdate、networkservice、sysguard,分別對(duì)這三個(gè)Linux下64位主程序進(jìn)行詳細(xì)分析,
sysupdate是門羅幣挖礦程序,如下所示:
版本號(hào)為:2.15.1-beta,如下所示:
加載config.json配置程序礦池和錢包地址等,如下所示:
開始挖礦,如下所示:
config.json配置文件信息,如下所示:
礦池地址:xmr.f2pool.com:13531
錢包地址:
84wSxADJuSCEPGu7FyRPa2UAgs2YkTad1izUTLWJNmyvNFLU9PpTnwYUCn66cSK5v6cfRAvDdxMzpPdirw6njjt5AcRwReU.xmrxmr2019
運(yùn)行截圖如下所示:
捕獲到了網(wǎng)絡(luò)流量包,如下所示:
networkservice漏洞掃描傳播程序,如下所示:
1.初始化掃描IP地址段,如下所示:
從遠(yuǎn)程服務(wù)器下載相應(yīng)的IP段數(shù)據(jù),服務(wù)器地址:https://23.175.0.142/api/download/I9RRye,下載回來的IP地址段是數(shù)字整型,文件名為ips_cn.txt,如下所示:
數(shù)字轉(zhuǎn)化為IP地址,如下所示:
16909568 16909823 --> 1.2.5.0 1.2.5.255
737878016 737879039 --> 43.251.32.0 43.251.35.255
1733261312 1733262335 --> 103.79.120.0 103.79.123.255
2525131776 2525132799 --> 150.130.116.0 150.130.119.255
3670879488 3670879999 --> 218.205.45.0 218.205.46.255
2.從內(nèi)存中解密出相應(yīng)的PowerShell腳本,如下所示:
解密出來的PowerShell腳本地址http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/init.ps1,如下所示:
可以在windows執(zhí)行相應(yīng)的傳播、挖礦程序,如下所示:
3.創(chuàng)建計(jì)劃任務(wù),進(jìn)行更新操作,如下所示:
4.更新執(zhí)行挖礦程序,如下所示:
5.執(zhí)行掃描、傳播程序,如下所示:
6.同時(shí)還可以下載自清除腳本進(jìn)行自清除操作,如下所示:
7.執(zhí)行各種掃描主機(jī)操作,如下所示:
8.redis未授權(quán)訪問漏洞掃描,如下所示:
9.Drupal框架CVE-2018-7600漏洞掃描,如下所示:
10.Hadoop未授權(quán)漏洞掃描,如下所示:
11.Spring框架CVE-2018-1273漏洞掃描,如下所示:
12.thinkphp框架TP5高危漏洞掃描,如下所示:
13.WebLogic框架CVE-2017-10271漏洞掃描,如下所示:
14.SQLServer框架xcmd_shell、SP_OACreate注入提權(quán)漏洞掃描,如下所示:
15.Elasticsearch框架CVE-2015-1427、CVE-2014-3120遠(yuǎn)程代碼執(zhí)行漏洞掃描,如下所示:
sysguard根據(jù)操作系統(tǒng)的版本下載執(zhí)行不同的payload代碼,如下所示:
1.內(nèi)存解密出PowerShell腳本,如下所示:
然后拼接PowerShell腳本,如下所示:
2.將上面的PowerShell腳本進(jìn)行Base64編碼,如下所示:
判斷是否為windows平臺(tái),如果為windows平臺(tái)執(zhí)行上面的PowerShell腳本,如下所示:
調(diào)用執(zhí)行PowerShell腳本,如下所示:
3.如果為L(zhǎng)inux平臺(tái),獲取主機(jī)root權(quán)限:
4.然后通過判斷不同的操作系統(tǒng)版本,與遠(yuǎn)程服務(wù)器CC通信執(zhí)行下載Payload、掃描、持久化駐留主機(jī)、更新等操作,如下所示:
5.判斷不同的操作系統(tǒng),執(zhí)行不同的掃描程序,如下所示:
在windows操作系統(tǒng)下,啟動(dòng)掃描程序networkservice,如下所示:
并把相應(yīng)的payload命令寫入到%temp%目錄下的隨機(jī)文件名的BAT腳本中,如下所示:
啟動(dòng)掃描程序,如下所示:
捕獲到相應(yīng)的流量包,如下所示:
6. 不同的操作系統(tǒng)執(zhí)行不同的持久化操作,如下所示:
在windows操作系統(tǒng)下,創(chuàng)建相應(yīng)的計(jì)劃任務(wù),如下所示:
創(chuàng)建的計(jì)劃任務(wù),如下所示:
在Linux操作系統(tǒng)下,創(chuàng)建相應(yīng)的crontab自啟動(dòng),如下所示:
7.檢測(cè)各個(gè)文件,進(jìn)行更新操作,如下所示:
執(zhí)行更新Payload,調(diào)用任務(wù)計(jì)劃中的PowerShell腳本執(zhí)行更新,如下所示:
8.與遠(yuǎn)程服務(wù)器進(jìn)行通信,如下所示:
獲取的CC服務(wù)器URL,如下所示:
http:///6HqJB0SPQqbFbHJD/pi?module=account&action=txlist&address=0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda&star
tblock=0&endblock=99999999&sort=asc&apikey=ADQAMwAuADIANAA1AC4AMgAyADIALgA1ADcAOgA4ADYANgA3AC8ANgBIAHEASgBCADAAUwBQAFEAcQBiAEYAYgBIAEoARAAvAGkAbgBpAHQALgBwAHMAMQAnACkA
執(zhí)行下載payload對(duì)應(yīng)的PowerShell腳本,并寫入到%temp%目錄下,相應(yīng)的PowerShell腳本,如下所示:
執(zhí)行完P(guān)ayload,如下所示:
上述就是小編為大家分享的如何解析基于Linux和Window雙平臺(tái)新型挖礦病毒了,如果剛好有類似的疑惑,不妨參照上述分析進(jìn)行理解。如果想知道更多相關(guān)知識(shí),歡迎關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。