来自 防护 2022-03-31 01:20 的文章

服务器安全防护_国内高防tiger鞋_免费试用

服务器安全防护_国内高防tiger鞋_免费试用

力点™ 安全实验室经常发现新的、不寻常的或其他有趣的恶意软件。有时,这些都是大型APT驱动活动的要素(例如,我们从2016年8月开始的季风活动报告);其他时候,这些可能更为"利基",就像这个微型Monero采矿僵尸网络一样。

尽管加利福尼亚淘金热吸引了被轻松赚钱承诺(最初的"49人")吸引的业余爱好者,但低进入门槛吸引着业余爱好者从事加密货币开采。不幸的是,这些21世纪的探矿者并不总是坚持法律方法:2017年1月,据报道[1],Sundown漏洞工具包正在丢弃一个基于开放源代码的加密货币矿工[2]。当时,人们注意到该样本中明显缺乏"交易工艺",并认为这代表了所谓新手参与网络犯罪的趋势。

2017年2月,法国出现了一场类似的、可以说更成功的运动,似乎影响了一系列机器,主要与上莱茵地区的中小企业和地方政府系统相关,包括:

几个地方政府网络;花园设备零售商;建筑和建筑公司;二手车经销商。

分析的样本(SHA1:05a02703a19d798415aa98212cf0f7242ba9b4da)是一个相对不显著的PE文件。初始执行时,它连接到其主C2服务器以下载初始配置文件。

恶意软件似乎在其整个通信过程中使用用户代理字符串"MyAgent"。

服务器返回以下未混淆的文件。请注意,该格式将数据有效地作为"键"放置在多个部分中,而不是遵循更典型的INI文件标准的键=值对。

然后恶意软件会立即尝试从服务器请求指令:

在我们的沙盒中,这产生了一个404错误-可能是由于机器以前没有被感染。作为响应,恶意软件从预定义的下载服务器(配置文件中的[SERVEURDOWNLOAD])下载两个文件:

shortcut.lnkfilelist36.ini

filelist36.ini的内容格式与configv36.ini中的类似,如下所示。请注意,filelist36.ini中使用的节名似乎是用英语而不是法语编写的。

shortcut.lnk的内容可能更有趣,下载文件中包含它的原因尚不清楚,如何做CC防御,尽管如下所示,恶意软件似乎模仿了IntelUpdate进程的进程名。该文件似乎是一个格式正确的.lnk文件,包括对目录/文件C:\Users\Alex\AppData\Roaming\IntelGraphics\IntelUpdate.exe和计算机名Alex hp的引用。

如果受感染的计算机上不存在7zip,该恶意软件下载filelist36.ini中记录的7zip安装文件,然后下载update.36.zip并使用7zip的命令行版本将其解压。

请注意,该文件上使用的密码字面上是"{pass}"。

该恶意软件然后在以下位置再次与原始C2联系:/misc/workers/allowupdate/---,大概是为了检查是否继续安装更新,然后再删除其以前的版本并将新版本设置为新的计划任务:

一旦启动并运行,恶意软件再次查询/misc/workers/commandes/---以获取其他命令。

在编写日期时,RUP1.ddns[.]net解析为IP地址88.120.123.246,与法国的OVH相关。主界面似乎位于开放目录中,并在请求时返回机器人控制面板(如下所示)。

在工作人员中,我们还看到一个机器人在一台名为alex hp的机器上运行,与.lnk文件中观察到的人工制品类似:

此页面还提供了对当前活动正常运行时间和成功率的深入了解,截至2017年2月20日,机器的正常运行时间通常长达约五天。这些受害者地址似乎都与法国网络/ISP有关,属于家庭用户、中小企业和地方政府组织的明显组合。

另一页列出了僵尸网络所有者的一些可用命令,包括——原因不明——在受感染的机器上启动记事本的明显能力:

通过ListServers命令提供了一些额外的C2和/或下载服务器。下面列出了这些服务器的详细信息,其中许多服务器似乎托管在其他合法网站上。

这些服务器中的大多数似乎不再使用,但在一些情况下,它们仍然显示一个控制面板,在探测时列出非活动的工作人员,如下图所示。

另一个现已废弃的C2(下图)显示了正常运行时间数据,表明该活动至少已经活跃了六周。这似乎得到了一些历史样本首次记录日期的支持,其中一个样本至少可以追溯到2016年11月。

在1月份报告的矿工示例中,犯罪者在代码中留下了对其个人Github帐户的引用——这是一个错误,这是他最终的失败。

这个例子背后的参与者似乎从前一篇文章中记录的错误中吸取了教训,并且就与采矿网站上的用户帐户相关联的Git和电子邮件地址而言,从事了良好的"卫生"工作关注:电子邮件地址daterup@gmx[.]com似乎是专门为本次活动注册的。

然而,虽然归属总是很困难,而且往往远不能确定,防御ddos攻击书籍,但本次活动中仍然存在松散的线程:在撰写本文时,daterup1.ddns[.]net解析为IP 88.120.123.246。该IP地址在2017年2月20日检索的ListServers文件中再次以字面和解析形式显示为域blioman[.]ovh的地址。