USDT官网

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

本文将先容上一篇文章中所先容的那些二进制文件。首先是Go语言扫描二进制文件networkmanager。

networkmanager

networkmanager二进制文件是一个upx压缩的Go语言二进制文件,用于扫描 *** ,并在识别出易受攻击的目的时,实验使用一组结构健全的内置应用程序破绽来损坏已识其余系统。研究职员已经确定了攻击者使用的两个差异文件名来命名执行相同扫描和行使功效的二进制文件,这两个名称划分是networkmanager和networkservice。

当扫描操作通过上面详细形貌的newdate .sh bash剧本启动时,扫描程序二进制文件将执行现实的扫描和行使操作。WatchDog扫描二进制使用一个由60634个单其中文IP *** 局限组成的文件,该文件是在networkmanager二进制文件的系统检测阶段下载的。在Go二进制文件的主要初始化函数sym.go.main.ipc.download_ipdb中,networkmanager二进制文件请求,然后下载两个可能的IP地址netrange文件:

http://83.97.20[.]90/cccf67356/ip_cn.txt

http://83.97.20[.]90/cccf67356/ips_cn.txt

IP地址 *** 局限以二进制花样存储,在转换为ASCII后显示目的IP地址 *** 局限(参见图16)。

ip_cn.txt中文 *** 局限的示例

unit42研究职员下载了这些文件,在下载的时刻,两个文件似乎包罗相同的内容,由于它们unit42的研究职员下载了这些文件,而且在下载时,这两个文件似乎都包罗相同的内容,由于它们都具有相同的SHA-256哈希,即ad3efb9bfd49c379a002532f43cc4867a4f0b1cd52b6f438bb7a8feb8833b8f8。 pnscan或masscan历程将使用这两个相同的文件来扫描 *** 局限中的潜在受害者。

停止发稿时,这两个文件只包罗与中国相关的IP地址。WatchDog背后的攻击者很可能能够更新二进制文件,以包罗他们希望瞄准的随便数目的IP地址 *** 局限。unit42的研究职员已经确认了在中国IP地址空间之外,稀奇是在美国和欧洲局限内也泛起了受害者。

在networkmanager Go二进制文件中加载了33个单独的exploit函数、32个单独的远程代码执行(remote code execution, RCE)函数和几个shell抓取函数(参见图17)。

加载到networkmanager二进制文件中的破绽

以下应用程序是专门针对扫描二进制文件:

1.CCTV行使:现在还不清晰目的是闭路电视装备照样其他;

2.Drupal:版本7和8;

3.Elasticsearch:

3.1 CVE-2015-1427(Elasticsearch沙箱逃避: 1.3.8之前的版本和1.4.3之前的版本);

3.2CVE-2014-3120(1.2之前的Elasticsearch版本);

4.Apache Hadoop:Apache Hadoop是一套用于在由通用硬件构建的大型集群上运行应用程序的框架。它实现了Map/Reduce编程范型,盘算义务会被支解成小块(多次)运行在差其余节点上。除此之外,它还提供了一款漫衍式文件系统(HDFS),数据被存储在盘算节点上以提供极高的跨数据中央聚合带宽。

5.PowerShell:编码的下令行操作;

6. Redis:Redis 是一个开源的使用 ANSI C 语言编写、遵守 BSD 协议、支持 *** 、可基于内存、漫衍式、可选持久性的键值对(Key-Value)存储数据库,并提供多种语言的 API。

7. Spring Data Commons:Spring Data Commons有一个主要看法:Spring Data Repository抽象。使用Spring Data Repository可以极大地削减数据接见层的代码。1.13-1.13.10, 2.0-2.0.5之前的版本。

8.SQL Server:SQL Server 是Microsoft 公司推出的关系型数据库治理系统。具有使用利便可伸缩性好与相关软件集成水平高等优点,可跨越从运行Microsoft Windows 98 的膝上型电脑到运行Microsoft Windows 2012 的大型多处置器的服务器等多种平台使用。Microsoft SQL Server 是一个周全的数据库平台,使用集成的商业智能 (BI)工具提供了企业级的数据治理。Microsoft SQL Server 数据库引擎为关系型数据和结构化数据提供了更平安可靠的存储功效,使您可以构建和治理用于营业的高可用和高性能的数据应用程序。

9.ThinkPHP:要求版本是版本5.x,5.10、5.0.23,ThinkPHP是为了简化企业级应用开发和迅速WEB应用开发而降生的。最早降生于2006年头,2007年元旦正式更名为ThinkPHP,而且遵照Apache2开源协议宣布。ThinkPHP从降生以来一直承袭精练适用的设计原则,在保持精彩的性能和至简的代码的同时,也注重易用性。而且拥有众多原创功效和特征,在社区团队的起劲介入下,在易用性、扩展性和性能方面不停优化和改善。

10. Oracle WebLogic Server:版本10.3.6.0.0、12.1.3.0.0、12.2.1.1.0和12.2.1.2.0上的CVE-2017-10271破绽,Oracle WebLogic Server 是一个Java应用服务器,它周全实现了J2EE 1.5规范、最新的Web服务尺度和更高级的互操作尺度。WebLogic Server内核以可执行、可扩展和可靠的方式提供统一的平安、事务和治理服务。

早在2019年5月19日之前,中文信息平安论坛forum.90sec.com上的博客帖子已经见证了对“tmp_0324_scan”的引用,90sec博客着重先容了针对Apache Hadoop,Redis和ThinkPHP应用程序的加密挟制开发事宜。

值得注重的是,博客中突出显示的bash剧本的花样与WatchDog挖矿使用的newinit.sh Shell剧本的花样相同(请参见图18)。除了文件名和IP地址差异之外,这两种花样现实上是相同的。

90sec博客和NewInit.sh之间的类似剧本花样

此外,90sec帖子中对“tmp / 0324 / scan”的引用以与networkmanager二进制函数中所见花样相同的花样列出(请参见图17和19)。

从90sec论坛中提取的 *** 服务破绽行使图像

很显著,2019年5月19日被90sec发现的流动,就是加密挟制恶意程序家族研究职员今天看到的WatchDog挖矿程序。在已往和现在的恶意程序形式之间,可以考察到一些相似之处,例如似乎使用了相同的破绽行使程序。然则,在最新版本的WatchDog中已经开发和实行了更新的手艺。详细来说,我们在phpguard二进制文件中看到了这一点。

还需要注重的是,denisenkom/ Go -mssqldb库被添加到Go二进制文件中,该库允许通过Go语言接见SQL DB函数,包罗远程毗邻、错误处置、批量操作、日志纪录和数据操作(参见图20)。

,

USDT跑分

U交所(www.payusdt.vip),全球頂尖的USDT場外擔保交易平臺。

,

加载的库:Denisenkom mssql-db,Go-Civil和Redis

Go二进制文件还加载了Google Cloud library Go Civil,以允许使用具有准确的24小时,60分钟和60分钟的公历日历以及Github Redis Go Library,通过二进制文件举行Redis服务控制。

phpguard

Phpguard是一个upx压缩的Go语言二进制文件,用于在操作历程中珍爱挖矿程序。监控系统历程和准时义务或cronjob(就是在Job上加上了时间调剂)的功效,保证挖矿程序的正常运行。研究职员已经为执行相同珍爱功效的二进制文件确定了两个差其余文件名:phpguard和sysguard。

通过使用自界说Go library “tmp_0324_dog_platform”(参见图21),Go二进制文件能够在Windows或NIX系统中控制XMRig挖矿程序。

在Windows和NIX中用于挖矿控制的phpguard自界说Go函数

另外,二进制文件通过设计的义务将挖掘程序嵌入到相关的操作系统中,就像Windows系统一样(请参见图22)。与NIX系统一样,这也可以通过CronJob举行(请参见图23)。

phpguard WIN Scheduled Task(义务设计)确立

phpguard NIX CronJob的确立

二进制文件还将延续搜索每个操作系统正在运行的历程,以确保挖掘历程正在运行(请参见图24)。

phpguard历程搜索周期

二进制文件旨在确保对挖矿历程举行珍爱,若是这是二进制文件的第一次运行,它将设置新的珍爱历程。若是尚未启动挖掘程序,它将启动挖掘程序。若是尚未下载该程序,则二进制文件将更先下载历程(请参见图25)。

为采矿历程设置珍爱

phpupdate

phpupdate历程是WatchDog挖矿使用的XMRig挖矿程序,unit42的研究职员为执行相同挖矿操作的二进制文件识别了三种差其余文件名,即phpupdate,zzh和trace。

关于WatchDog挖矿程序版本的XMRig,以及它在已知行业挖矿程序操作之外的挖矿营业,险些没有什么可披漏的。它提供了一个完全可设置的操作菜单,允许用户指定以下挖矿属性(参见图26):

1.挖矿池的URL;

2.挖矿算法或所需的加密钱币;

3.用户名;

4.密码;

5.署理信息;

6.发送一个保持流动的数据包;

7. 数据包的巨细;

……

WatchDog挖矿的设置选项

虽然可以通过phpguard Go二进制文件来控制采矿程序,如上所述,采矿程序也可以通过直接的用户交互举行操作。

总结

自2019年1月27日以来,WatchDog采矿作业一直在举行中,已 *** 了至少209枚Monero CryptoCoins(XMR),价值至少32056美元。 WatchDog攻击者通过使用UPX压缩的Go语言二进制文件,使用了云盘算效率高的加密挟制恶意程序,以确保他们能够乐成攻击Windows和Linux操作系统(不外条件是这些系统要安装Go平台)。现在,已知WatchDog挖矿基础结构包罗18个IP地址和7个域。这些恶意终端将继续托管或托管了至少125个用于下载WatchDog挖矿工具包的URL地址。此外,扫描和行使二进制文件networkmanager装有33种怪异的破绽行使,包罗32种RCE功效。 WatchDog的挖矿作业规模相当大,由于在任何给准时间,估量至少有476个受攻击的系统正在挖矿。

很显著,WatchDog操作职员都是熟练的程序员,因此他们的挖矿作业相对对照隐藏。只管现在没有迹象解释存在其他攻击云的流动,即获取云平台IAM证书、接见ID或密钥,但可能存在进一步的云帐户攻击的可能性。由于在植入密码挟制程序时代获得了根和治理接见权,这些攻击者很可能在他们已经受到损坏的云系统上找到与IAM相关的信息。

Palo Alto Networks Pri *** a Access设置为通过PAN-OS检测WatchDog的18个IP地址、7个域及其关联的URL地址。Pri *** a Cloud还检测到WatchDog 挖矿程序在安装了Pri *** a Cloud Compute Defender的云环境中使用的恶意XMRig历程的使用情形。

本文翻译自:https://unit42.paloaltonetworks.com/watchdog-cryptojacking/: 欧博开户声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt接口开发(www.caibao.it):WatchDog实行加密挟制流动已经有两年了(二)
发布评论

分享到:

usdt不用实名买卖(www.caibao.it):亚洲俱乐部杯和亚冠有什么差异?
1 条回复
  1. usdt钱包官方下载
    usdt钱包官方下载
    (2021-04-23 00:01:35) 1#

    USDT交易所U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。挚爱!

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。