设为首页 - 加入收藏 ASP站长网(Aspzz.Cn)- 科技、建站、经验、云计算、5G、大数据,站长网!
热搜: 重新 试卷 文件
当前位置: 首页 > 服务器 > 安全 > 正文

如何分析基于Linux和Window双平台新型挖矿病毒

发布时间:2021-11-09 09:20 所属栏目:53 来源:互联网
导读:这期内容当中小编将会给大家带来有关如何解析基于Linux和Window双平台新型挖矿病毒,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。 这是一款近期非常流行的挖矿病毒,基于Linux和Windows双平台,主体程序都是使用GO语


这期内容当中小编将会给大家带来有关如何解析基于Linux和Window双平台新型挖矿病毒,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。
 
这是一款近期非常流行的挖矿病毒,基于Linux和Windows双平台,主体程序都是使用GO语言进行编写的,并通过多个漏洞进行传播,估计国内已经有不少服务器被感染,笔者最近一段时间发现它更新了,并捕获到它的最新的脚本,通过分析,下载服务器URL地址为:
 
https://us.gsearch.com.de/api/sysupdate
 
http://209.182.218.161:80/363A3EDC10A2930D/sysupdate
 
https://us.gsearch.com.de/api/update.sh
 
http://209.182.218.161:80/363A3EDC10A2930D/update.sh
 
https://us.gsearch.com.de/api/config.json
 
http://209.182.218.161:80/363A3EDC10A2930D/config.json
 
https://us.gsearch.com.de/api/networkservice
 
http://209.182.218.161:80/363A3EDC10A2930D/networkservice
 
https://us.gsearch.com.de/api/sysguard
 
http://209.182.218.161:80/363A3EDC10A2930D/sysguard
 
相应的配置文件挖矿地址和钱包地址,如下所示:
 
cryptonightr.usa.nicehash.com:3375
 
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.usa
 
cryptonightr.eu.nicehash.com:3375
 
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.eu
 
cryptonightr.jp.nicehash.com:3375
 
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.jp
 
cryptonightr.hk.nicehash.com:3375
 
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.hk
 
cryptonightr.br.nicehash.com:3375
 
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.br
 
cryptonightr.in.nicehash.com:3375
 
1NYTak57oEYJwzTrG9wwAtM9Q44DwMBFLq.in
 
xmr.f2pool.com:13531
 
43zqYTWj1JG1H1idZFQWwJZLTos3hbJ5iR3tJpEtwEi43UBbzPeaQxCRysdjYTtdc8aHao7csiWa5BTP9PfNYzyfSbbrwoR.nice
 
脚本的功能主要是结束其它挖矿程序,然后从服务器上下载三个主要的程序:sysupdate、networkservice、sysguard,分别对这三个Linux下64位主程序进行详细分析,
 
sysupdate详细分析
sysupdate是门罗币挖矿程序,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒版本号为:2.15.1-beta,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒加载config.json配置程序矿池和钱包地址等,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒开始挖矿,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒config.json配置文件信息,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒
 
矿池地址:xmr.f2pool.com:13531
 
钱包地址:
 
84wSxADJuSCEPGu7FyRPa2UAgs2YkTad1izUTLWJNmyvNFLU9PpTnwYUCn66cSK5v6cfRAvDdxMzpPdirw6njjt5AcRwReU.xmrxmr2019
 
运行截图如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒捕获到了网络流量包,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒
 
networkservice详细分析
networkservice漏洞扫描传播程序,如下所示:
 
1.初始化扫描IP地址段,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒从远程服务器下载相应的IP段数据,服务器地址:https://23.175.0.142/api/download/I9RRye,下载回来的IP地址段是数字整型,文件名为ips_cn.txt,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒
 
数字转化为IP地址,如下所示:
 
16909568 16909823      -->  1.2.5.0  1.2.5.255
 
737878016 737879039    -->  43.251.32.0 43.251.35.255
 
1733261312 1733262335  -->  103.79.120.0 103.79.123.255
 
2525131776 2525132799  -->  150.130.116.0 150.130.119.255
 
3670879488 3670879999  -->  218.205.45.0 218.205.46.255
 
2.从内存中解密出相应的PowerShell脚本,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒解密出来的PowerShell脚本地址http://43.245.222.57:8667/6HqJB0SPQqbFbHJD/init.ps1,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒可以在windows执行相应的传播、挖矿程序,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒3.创建计划任务,进行更新操作,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒4.更新执行挖矿程序,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒5.执行扫描、传播程序,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒6.同时还可以下载自清除脚本进行自清除操作,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒7.执行各种扫描主机操作,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒8.redis未授权访问漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒9.Drupal框架CVE-2018-7600漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒10.Hadoop未授权漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒11.Spring框架CVE-2018-1273漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒12.thinkphp框架TP5高危漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒13.WebLogic框架CVE-2017-10271漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒14.SQLServer框架xcmd_shell、SP_OACreate注入提权漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒15.Elasticsearch框架CVE-2015-1427、CVE-2014-3120远程代码执行漏洞扫描,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒
 
sysguard详细分析
sysguard根据操作系统的版本下载执行不同的payload代码,如下所示:
 
1.内存解密出PowerShell脚本,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒然后拼接PowerShell脚本,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒2.将上面的PowerShell脚本进行Base64编码,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒判断是否为windows平台,如果为windows平台执行上面的PowerShell脚本,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒调用执行PowerShell脚本,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒3.如果为Linux平台,获取主机root权限:
 
如何解析基于Linux和Window双平台新型挖矿病毒4.然后通过判断不同的操作系统版本,与远程服务器CC通信执行下载Payload、扫描、持久化驻留主机、更新等操作,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒5.判断不同的操作系统,执行不同的扫描程序,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒在windows操作系统下,启动扫描程序networkservice,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒并把相应的payload命令写入到%temp%目录下的随机文件名的BAT脚本中,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒启动扫描程序,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒捕获到相应的流量包,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒6. 不同的操作系统执行不同的持久化操作,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒在windows操作系统下,创建相应的计划任务,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒创建的计划任务,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒在Linux操作系统下,创建相应的crontab自启动,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒7.检测各个文件,进行更新操作,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒执行更新Payload,调用任务计划中的PowerShell脚本执行更新,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒8.与远程服务器进行通信,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒
 
获取的CC服务器URL,如下所示:
 
http:///6HqJB0SPQqbFbHJD/pi?module=account&action=txlist&address=0xb017eFb3339FfE0EB3dBF799Db6cb065376fFEda&star
 
tblock=0&endblock=99999999&sort=asc&apikey=ADQAMwAuADIANAA1AC4AMgAyADIALgA1ADcAOgA4ADYANgA3AC8ANgBIAHEASgBCADAAUwBQAFEAcQBiAEYAYgBIAEoARAAvAGkAbgBpAHQALgBwAHMAMQAnACkA
 
执行下载payload对应的PowerShell脚本,并写入到%temp%目录下,相应的PowerShell脚本,如下所示:
 
如何解析基于Linux和Window双平台新型挖矿病毒执行完Payload,:

(编辑:ASP站长网)
    相关内容
    网友评论
    推荐文章
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱nqiang002@foxmail.com我们将及时予以处理。

        建议您使用1366×768 分辨率、Microsoft Internet Explorer 11浏览器以获得本站的出色浏览效果

        Copygight © 2008-2023 http://www.aspzz.cn All Rights Reserved. ASP站长网

        站长:nqiang002#foxmail.com(请把#换成@)