Allbet官网

欢迎进入Allbet官网(www.aLLbetgame.us),欧博官网是欧博集团的官方网站。欧博官网开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。

,

概述


克日,笃信服威胁情报团队在云蜜罐中捕捉到Sysrv-hello挖矿家族的最新变种,作者于7月10日和7月21日举行了多次更新,该病毒家族的攻击模块到达了18个,在本次更新中,新增了SSH爆破、PostgreSQL RCE(CVE-2019-9193)和Struts2 RCE(CVE-2017-5638)攻击模块,进一步扩大了影响局限和危害,现在监测到失陷主机数目正呈上升趋势。

Sysrv-hello家族最早泛起于2020年12月份,至今其版本迭代已数十次,不停的新增攻击模块,是一个新型且十分活跃的家族。在最新的威胁情报剖析中,我们发现了其最新生长之一,包罗前置Payload去除了卸载云主机平安软件的模块以及新的自建钱包地址,而且其入侵手法基本笼罩到大多数政企单元常用的Web服务,危害严重,笃信服威胁情报团队提醒相关运维职员实时更新补丁做好防护。

本次要害更新

1. 前置Payload去除了之前新增的卸载云主机平安软件模块和a.py和BrowserUpdat.exe模块;(疑似版本回溯)

2. 删除部门破绽行使模块,并新添SSH爆破、PostgreSQL RCE(CVE-2019-9193)和Struts2 RCE(CVE-2017-5638)攻击模块,现在该版本共有18种攻击模块,而且仍在不停迭代更有用的横向攻击模块;

3. 替换矿机地址为自己的C2服务器,疑似使用自建矿池。

病毒攻击流程

攻击流动

通过笃信服云端数据剖析,发现该病毒近期扩散十分迅速,短期内有大量主机中招。如下图Sysrv-hello病毒近期的熏染量,可以看到病毒在7月2-7日举行了大规模入侵流动:

样本关联

通过威胁情报图数据库举行样本关联,发现大量的同家族威胁样本,该病毒的特征属于更新快、连续迭代演进的病毒家族:

病毒样天职析

Sysrv-hello攻击目的同时笼罩Windows和Linux操作系统,针对两平台除前置Payload差异外,其他模块基本一致。其中主体程序sys可执行文件(横向流传模块)是由Golang编写的,因此具备跨平台性;矿机使用的是开源XMRig矿机。下面将划分先容Windows和Linux的前置Payload以及主体程序sys。

Windows版本

入侵Windows系统乐成后,植入名为ldr.ps1的PowerShell脚原本执行恶意下令。ldr.ps1剧本主要功效为:

1. 关闭防火墙并竣事自身老版本病毒的历程;

2. 通过监测其他挖矿家族常用端口来祛除竞品挖矿程序;

3. 从C2:http[:]//194.145.227.21/sys.exe下载并执行主体程序sys.exe,并通过确立设计义务和写注册表来实现内陆持久化。

 

Linux版本

入侵Linux系统乐成后,植入名为ldr.sh的Shell脚原本执行恶意下令。ldr.sh剧本功效大致与Windows下的ldr.ps1大同小异,但功效更为完善。如:

1. 关闭防火墙并竣事自身老版本病毒的历程;

2. 通过监测其他挖矿家族常用端口来祛除竞品挖矿程序;

3. 从C2:http[:]//194.145.227.21/sys.x86_64下载并执行主体程序。

除此之外ldr.sh,还会读取/、/root和/home目录下的SSH私钥及设置文件,并连系获取到的SSH密钥举行爆破。当爆破乐成后,便在新的受害主机上下载并运行ldr.sh剧本,代码如图:

主体sys程序(横向流传模块)

由于主体sys程序是由Golang编写的,因此差异平台前置Payload下载的sys.exeh和sys.x86_64其代码和功效差距不大,因此本文将以Windows版本举行先容。

通过剧本还原Go语言的函数和字符串之后,能定位出作者的编译路径和作者的用户名为K:

确立端口互斥体

凭证受害主机名天生随机端口,并将该随机端口作为互斥体,当检测到该端口已处于监听状态便退出程序,来确保唯一历程执行。

横向流传

本次捕捉到的Sysrv-hello一共包罗18个横向攻击模块,凭证随机天生的IP举行端口扫描,判断目的开放的服务,来确认使用的攻击方式。18种横向攻击方式如下表:

端口

破绽

9999

XXL-JOB executor 未授权接见破绽

8888

Jupyter未授权接见破绽

80

Laravel Debug mode RCE(CVE_2021_3129)

80/8080

Tomcat 弱口令爆破

80/8080

Jenkins RCE(CVE-2018-1000861)

8081

Nexus Repository Manager 3 RCE(CVE-2019-7238)

7001

WebLogic RCE CVE-2020-14882

2022年世界杯中国队预选赛赛程www.9cx.net)实时更新比分2022年世界杯中国队预选赛赛程数据,2022年世界杯中国队预选赛赛程全程高清免费不卡顿,100%原生直播,2022年世界杯中国队预选赛赛程这里都有。给你一个完美的观赛体验。

6379

Redis弱口令爆破

9001

Supervisord远程下令执行破绽(CVE-2017-11610)

80

JBoss反序列化破绽(CVE-2017-12149)

80

ThinkPHP5 RCE

5432

PostgreSQL RCE(CVE-2019-9193)

8090

Confluence RCE(CVE-2019-3396)

22

SSH 爆破

80

Struts2-s2-045 RCE (CVE-2017-5638)

80

phpunit RCE(CVE-2017-9841)

8088

Hadoop YARN REST API未授权破绽行使

80

Wordpress-XMLRPC暴力破解

注:其中 加粗 的为本次版本新增的横向攻击模块。

新增横向攻击模块

新增PostgreSQL RCE(CVE-2019-9193)破绽行使模块,如图:

新增struts2-s2-045 RCE(CVE-2017-5638)破绽行使模块:

新增SSH爆破:

 历史破绽行使模块

XL-JOB executor 未授权接见破绽行使模块:

Jupyter未授权接见破绽行使模块:

Laravel Debug mode RCE(CVE_2021_3129)破绽行使模块:

Tomcat 弱口令爆破模块:

Jenkins RCE CVE-2018-1000861破绽行使模块:

Nexus Repository Manager 3 RCE(CVE-2019-7238)破绽行使模块:

WebLogic RCE (CVE-2020-14882)破绽行使模块:

Redis未授权写破绽行使模块:

Supervisord远程下令执行破绽(CVE-2017-11610)行使模块:

JBoss反序列化破绽(CVE-2017-12149)行使模块:

ThinkPHP5 RCE破绽行使模块:

PostgreSQL RCE(CVE-2019-9193)破绽行使模块:

Confluence RCE(CVE-2019-3396)破绽行使模块:

Payload:

Phpunit RCE(CVE-2017-9841)破绽行使模块:

Hadoop YARN REST API未授权破绽行使:

WordPress暴力破解:

XMRig挖矿

最后,样本会确立守护线程(go routine)来守护矿机历程和文件,先将XMRig挖矿程序释放莅暂且目录下,并重命名为kthreaddi,然后释放设置文件,当挖矿历程运行起来,便会将设置文件删除。

矿池地址为:194.145.227.21:5443,矿池与C2地址一致,而且内陆设置和抓包都没有看到钱包地址,因此推测此版本使用的是病毒作者自建的矿池,详细设置如图:

抓取的XMRig上岸信息的流量包,如图:

IOC

MD5
DA63A2F797B27F31745CFB8F94479BF4(sys.x86_64)
D51BA1FEE712AAC5A3A17129782115AF(sys.exe)
C67607C0927154A4D2EFD79AD502CC7D(ldr.ps1)
46C7302FE138E6A877755A3B5203303A(ldr.sh)
A7013A2C7FD3A6168A7C0D9EED825C32(kthreaddk.exe)

IP
194[.]145.227.21

URL
http[:]//194.145.227.21/ldr.ps1
http[:]//194.145.227.21/ldr.sh
http[:]//194.145.227.21/sys.exe
http[:]//194.145.227.21/sys.x86_64

皇冠体育官网声明:该文看法仅代表作者自己,与本平台无关。转载请注明:Sysrv-hello僵『jiang』尸网络「luo」又有〖you〗什么新“招式‘shi’”?
发布评论

分享到:

科学家发现了一种与所有癌症有关的卵白质,似乎可以通过开关它来治愈癌细胞。
5 条回复
  1. 环球UG官网(www.ugbet.us)
    环球UG官网(www.ugbet.us)
    (2021-10-17 00:33:19) 1#

    妥妥的好文

  2. 皇冠APP下载(www.22223388.com)
    皇冠APP下载(www.22223388.com)
    (2021-11-15 00:15:19) 2#


    USDT第三方支付
    来来来都来瞧啊

    1. 帮人买usdt赚手续费(www.usdt8.vip)
      帮人买usdt赚手续费(www.usdt8.vip)
      (2021-12-05 22:05:59)     

      【环球网报道 记者 侯佳欣】“又一只可爱的熊猫宝宝!”11月22日,和歌山县白滨町“冒险天下”的大熊猫“良浜”生下一只雄性熊猫幼仔,中国外交部发言人华春莹23日晚也在推特上分别用英文、日文发推送上祝福。怎么这么好看

  3. 澳洲幸运5开户(a55555.net)
    澳洲幸运5开户(a55555.net)
    (2021-11-23 00:07:35) 3#

    新2代理手机管理端www.huangguan.us)实时更新发布最新最快的新2代理线路、新2会员线路、新2备用登录网址、新2手机管理端、新2手机版登录网址、新2皇冠登录网址。

    很有特点呢

  4. 澳洲幸运5官网(www.a55555.net)
    澳洲幸运5官网(www.a55555.net)
    (2022-06-07 00:08:38) 4#

    关注我好吗

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。