欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

辣条先生与西方红玫瑰黑产组织研究测试专题说明

来源:本站整理 作者:佚名 时间:2017-09-11 TAG: 我要投稿

1. 申报择要
近期,神州网云寄托高档威逼检测引擎并联合天涯友盟的威逼谍报,准确发明了多起高档威逼构造的入侵攻击,经由进程疾速有用的一键溯源肯定了进击行动及影响。
Struts2的安全破绽漏洞bug从2010年开端连续被表露存在远程代码执行破绽,从2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2表露的S045破绽,每一次的破绽迸发随后互联网都邑呈现Struts2扫描进击运动。
近期发明并确认了两个威逼构造利用Struts2的安全破绽进击行动,下载并履行分歧的木马法式停止进击赢利。
“东方红玫瑰”利用一个位于欧洲的ISP收集停止Struts2进击,重要针对Linux平台来下载履行比特币挖矿法式停止赢利。
“辣条老师”至多领有5年阁下的黑产运动阅历,利用中国江西电信收集历久停止各类威逼运动。本次运动利用Struts2破绽停止进击,重要针对Windows平台下载装置DDoS木马,并经由进程节制的大批办事端来停止DDoS进击。
2. 东方红玫瑰挖矿构造
经由进程网镜高档威逼检测体系本身的检测才能联合威逼谍报发明了俄罗斯&保加利亚(备注:IP地区地点库多个源不统一)的一个WestVPS运营商的多个IP地点Struts2-045进击行动,联合与谍报阐发、样本阐发断定为挖矿进击行动。依据该构造的特色咱们定名次构造为“东方红玫瑰”构造。该构造经由进程Struts2-045破绽批量对互联网的WEB利用办事器提议进击,并下载歹意剧本履行下载停止比特币挖矿法式,重要沾染Linux办事器。
2.1. IP 5.188.10.250俄罗斯&保加利亚的溯源阐发
检测到多起歹意IP地点频仍对某数据中心提议Struts2-045进击行动。

网镜高档威逼检测体系检测到Struts2-045进击

针对进击IP地点5.188.10.250 停止溯源阐发
经由进程一键点击歹意IP停止溯源阐发发明此IP地点为扫描器范例,且IP地点的信用值较高,证明历久活泼还在对互联网停止歹意扫描运动。

Struts2-045进击原始数据包
阐发进击数据包,发明Struts2破绽进击的敕令利用wget下载一个文件并履行,地点:http://91.230.47.40/common/logo.jpg下载上去logo.jpg文件 是伪装成图片的bash剧本,内容如下:

 
对付logo.jpg剧本文件阐发如下:
logo.jpg是在linux情况下履行一系列敕令,后面ps一些敕令强迫杀掉一些进程,ps -fe|grep `echo $id2`|grep -v grep–反省eulyjbcfew进程能否存在,if [ $? -ne 0 ]—假如没有找到自己的木马进程,即不等于0,则履行下载配置文件kworker.conf。依据cpu 能否支撑aes加密指令集下载分歧的木马法式,即if [ $? -ne 1 ]–而且不等于1则下载kworker文件,若不等于0也不不等于1,则下载kworker_na文件为木马增加履行权限并履行,末了断定有几个物理CPU核,充足利用受害者的办事器CPU资本。

   
下载的文件列表

Kworker.conf内容
2.2. kworker样本阐发
kworker样本信息:

 
经由进程各类杀软的成果能够认定此样本为比特币挖矿客户端,见下图:

   
经由进程矿机的范例停止比对此范例应当属于第一种,利用主机CPU资本停止挖矿,这从样本的阐发证明了此行动。

   

   
挖矿样本运转进程如下:
经由进程挪用挖矿客户端以url(json格局)作为参数与矿池通讯并挂号。当矿池与挖矿客户端衔接今后,挖矿客户端向矿池哀求义务定阅,矿池给挖矿客户端前往义务。当挖矿客户端找到share节点时,即可向矿池提交义务。而且发明样本有上传受害者办事器信息的怀疑。

[1] [2] [3] [4] [5] [6]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载