您的位置:银河至尊娱乐注册>>电脑App

安全狗App可默认拦截PhotoMiner新型蠕虫

发布时间:2018-06-08 14:25:24  来源:互联网    背景:

  自2016年首次被发现至今,PhotoMiner木马参与门罗币挖矿的累计收入已高达8900万人民币,堪称名副其实的“黄金矿工”。近一段时间,该木马再度出现活跃迹象,正通过入侵感染FTP和SMB服务器进行大范围传播,国内外技术人员均开展了对该木马的研究。这里大家先容一篇国外关于PhotoMiner的研究文章。

  编辑为以色列的安全企业GuardiCore,创立于 2013 年,总部位于以色列特拉维夫,同时在美国及加拿大设有办事处。

  在过去的几个月中,大家一直在关注一款名为photominer的新型蠕虫。PhotoMiner具有独特的感染机制,通过感染托管在FTP服务器的网站感染终端用户,通过挖掘门罗币(Monero)来获益。选择汇率良好但鲜为人知的货币可以让攻击者迅速获益,而其使用的复杂的保障措施能抵御大多数中断它的手段,这可能让受害者长期处于感染状态。

  大家整理了成千上万的攻击记录,发现它们来自最原始的上百个IP。它们使用不同的二进制文件进行同样的攻击。在这篇报告里面,大家将分享在PhotoMiner的时间线,感染方式、C&C服务器、检查恶意代码工具等方面的研究。

  攻击描述

  在2016年1月10日,GuardiCore全球传感器网络检测到向FTP主机上传可疑文件的自动攻击。通常情况下,将文件上传到易受攻击的FTP服务器在组织中不会被注意,但是大家的传感器网络确定了一种异常行为——相同的事件在全世界范围内持续发生着。

  从首次释放蠕虫开始,蠕虫版本迭代迅速。直到今天,大家已经看到了PhotoMiner两种不同的变种和十几个版本,这表明PhotoMiner演变迅速。第一种类编译于2015年12月9日,包括了核心的挖矿程序(miner)和基础的传播能力;第二个种类发布于2016年1月3日,很快成为大家能在野外观察到的主要版本。

  扩散和感染

  随着事件推移,PhotoMiner增加了新功能,包括一个独特的多阶段感染机制。首先,世界范围内的不安全的FTP服务器被影响,然后托管于FTP上的网站被设计为利用恶意代码感染它们的访问者,最后不知情的网站访问者感染了不仅可以挖掘虚拟货币,还可以主动寻找并感染本地网络中FTP服务器和系统。

  PhotoMiner有两种攻击方式。

  第一种攻击方式利用了不安全的FTP服务器和一无所知的用户。由于网站通常是可以通过FTP访问的,因此PhotoMiner的运营商能轻易的从此处感染网站的源代码和无知的用户,这种方式对网站安全构成了长期的威胁。

  一个简单的二段攻击:

  通过暴力强制随机IP地址和使用用户/密码字典,定位和攻击弱保护的FTP服务器。

  一旦尝试登录成功,恶意代码将副本上传到每一个可写的FTP服务器。此时,每个呈现给用户的文件(如HTML,PHP和aspx文件)将被写入以下代码进行感染:

  一个已感染该恶意代码的网站服务

  在这个阶段,渲染页面会导致一个有漏洞的浏览器将其当作为一个下载项。毫无警惕的用户会点击打开恶意代码。最近恶意代码变种更新增加了通过感染服务端的代码注入和尝试安装一个基于Linux的挖矿程序。

  目标服务器IP、它的凭证、感染文件列表将被发送到恶意代码的后端服务器。根据这些信息,攻击者能够在之后登录被感染的FTP服务器感染更多文件和传染给其他的受害者。

  第二种方式是基于本地局域网中的Windows终端和服务器,使用以下步骤:

  PhotoMiner使用内置的Windows系统工具(如‘arp’和‘netview’)来读取ARP缓存并使用BROWSER协议扫描本地网段。

  接下来,它试图暴力破解SMB进行连接。一旦连接成功,PhotoMiner尝试将自身的副本放入到每个可访问的远程启动目录。然后使用WMI脚本去实行远程副本。

  PhotoMiner禁用休眠

  一些变种偷偷地打开一个硬编码名为“Free_WIFI_abc12345”的公共WIFI接入点,引诱无辜的用户接入网络并感染他们。

  攻击者感染通过打开可访问的无线接入点来引诱网站访问者

  深入恶意代码PhotoMiner是以模块化方式组成,它创建了一个专注于门罗币挖掘的可实行文件和一个保持持久性的机制和进一步传播感染模块的包。这个包由两个主要变种和多个子版本组成:第一个变种img001.scr在使用NSIS脚本语言方面独一无二。第二个变种photo.scr是一个本地二进制文件,它在本机中实现了img001.scr功能。

  使用NSIS可以简单地编写与操作系统交互的复杂脚本

  这两个变种都包含从bug修复到更改感染技术的多个子版本。尽管版本众多,但它们仍遵循同样的操作。因此,大家将一起描述它们,仅当需要时提及它们之间的区别。在初始化阶段,PhotoMiner实行诸如持久化安装和下载挖矿程序(miner)的配置数据等:安装持久化机制,PhotoMienr使用以下方法注册成一个启动程序

  HKCU\SOFTWARE\微软\Windows\CurrentVersion\Run??%ALLUSERSPROFILE%\微软\Windows\Start Menu\Programs\Startup\??%HOMEPATH%\AppData\Roaming\微软\Windows\StartMenu\Programs\Startup\

  尽管基础,但这个技术仍然起作用,并且现在并会因此将这个程序标记为“恶意程序”。 配置数据是通过脚本的HTTP协议与预置的主机名列表进行通信获取到的,所有的主机名都是为了下载配置文件。获取到的配置文件是一个门罗币矿池列表和恶意代码随机挑选的钱包地址。这个配置文件使用了反向字典进行感染。这意味着对于每个干扰字符,都会从硬编码字典中检索匹配字符,而无干扰的字符就安全地跳过。

  配置文件:干扰字符与无干扰字符对比

  在这个阶段,关于计算机的基本信息如操作系统版本和IP都将被发送回C&C服务器。PhotoMiner与C&C服务器连接通信告知进度,而不是接受“命令”,并且事实上,样本中并不包括任何远程访问功能。攻击者已经建立了一个弹性后端,分布在多个域名并且使用跨不同托管服务提供商的VPS服务器。但是由于攻击者犯了一些错误,例如重用服务器和IP地址,不同的活动通过共享服务连接在一起。

  初始化后,恶意App将挖矿程序作为一个单独的进程分离并继续进行自我复制传播。这种方式大大地减少了防病毒程序对挖矿程序的本身造成威胁。挖掘模块本身是“BitMonero”打包的一个版本,“BitMonero”是实现Monero挖掘的核心程序,这是个合法程序,避免吸引不必要的注意。

  检测和预防PhotoMiner攻击

  无论FTP服务器采用了哪种托管App,PhotoMiner都有可能感染它,并且使用受感染的Windows机器的所有计算能力。

  对于终端设备,实施推荐的安全策略很容易预防攻击,诸如应用程序白名单和阻断内外连接的终端设备防火墙。如果这些选项都不采用,那么更新浏览器预防像此处所使用的驱动下载。

  通过锁定允许的IP地址,FTP服务器不应允许未授权连接;和使用复杂度较强的用户/密码组合。

  如果检测到一个感染的服务器,请确认代码文件已经被清理过,并且在服务器上删除所有恶意App副本。

  服务器安全狗可以默认拦截

1528429953246062.png

特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经银河至尊娱乐注册证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性银河至尊娱乐注册不作任何保证或承诺,并请自行核实相关内容。银河至尊娱乐注册不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系大家,银河至尊娱乐注册将会在24小时内处理完毕。


返回银河至尊娱乐注册 本文来源:互联网

本文评论
友情提示:评论功能暂时关闭,请扫描上方二维码进群交流!
为国产办公应用正名 万兴PDF专家App评测
近年来,国产办公效率类App快速崛起,各式各样的办公效率类App进入职场,但是,就选择一款使用方...
日期:08-21
万兴PDF专家评测:消除PDF文档使用痛点,强大功能终将 成为“爆款”App
时光荏苒,岁月如梭,转眼间酷热难耐的夏天已经带着一丝不舍向大家挥手道别,而“立秋”...
日期:08-21
CRM进入工作手机时代 讯众通信要进入CRM领域?
最初,销售管理就是填各种表,后来引入销售管理App,开始信息化管理。有了移动互联网之后,销售管...
日期:08-20
妙笔2.0升级系统不容小觑,快速抓住传播营销新趋势
2019年8月,在蓝色光标AD大会上,妙笔智能企业正式推出了智能撰稿机器人2.0系统。在该系统下,通过"...
日期:08-16
这个 WPS 高效功能,让你轻松制作高水平简历
目前,正值招聘的黄金时期「秋招季」,各大企业的集中招聘正在火热展开。如何能在千百位应聘者中脱...
日期:08-15
听音乐时不想收到语音消息 讯飞输入法语音输入更方便看
近日,微博#用手机听音乐时收到语音消息#这一话题备受关注。相信很多手机听歌收到微信语音时的内心O...
日期:08-09
“轻量化”成趋势,办公OA系统如何选择?
“轻量化”,本是汽车生产技术之一,可以做到保证汽车基本性能的情况下,降低重量提高操...
日期:08-09
索泰发布新款迷你PC:搭载9代酷睿和RTX显卡
8月8日消息 索泰今天发布了MAGNUS E系列ZBOX迷你PC,62.2毫米厚,搭载9代英特尔酷睿处理器和NVIDIA ...
日期:08-08
AMD 霄龙发布会现场实拍:双路EPYC,超大被动散热器
8月8日消息 旧金山时间8月7日下午,AMD召开发布会,正式推出了7nm EPYC 7002系列处理器,最高64核12...
日期:08-08
万物互联时代,一款远程控制App的十年进化之路
远程控制作为一种新兴的互联网操作方式,正在成为一种潮流。
日期:08-07
破解数字化转型的密码  用友2019全球企业服务大会即将揭幕
如今,云计算、大数据、5G、AI人工智能、IoT物联网等新兴技术突飞猛进,已经成为改变生活、产业和社...
日期:08-02
这个高效神器,让你的PPT字体更好看
相信不少小伙伴们都知道,字体对于PPT制作、宣传海报设计而言,重要性不言而喻,字体若是使用得当,...
日期:08-02
迅雷破解版盘点,VIP破解版无限加速去广告统统不靠谱!
提到下载影片、游戏、App等,相信不少小伙伴都想到迅雷,作为一款装机必备的App,网上也流传着很...
日期:08-02
十年远控品牌向日葵亮相海纳汇,助力物联网企业数字化
2019年7月20日,海纳汇联盟年度全国巡展第六站在杭州成功举办。
日期:07-29
货架革命,如何拿下终端货架高地?
数据显示,
  每位消费者在超市每个终端展示货架前平均停留15秒,
  75%的人会在5秒...
日期:07-25
简单3步解决文档丢失?试试WPS高效办公小妙招《四》
决定职场人升职加薪的主要因素除老板外,还有你的工作文档。为什么呢?因为这些文档也是你工作成果最...
日期:07-25
科创板开市大涨引股民抢投,Tencent手机管家精准查杀5款病毒炒股APP
近日,科创板鸣锣开市,首批25只新股正式在上交所开始交易,开盘全部大涨,甚至有的涨幅达520%,上...
日期:07-24
有人打电话喊你投资《星球大战9》,Tencent手机管家精准拦截诈骗电话
《星球大战》在全球拥有数以亿计的粉丝,其天行者系列终章《星球大战9》在前段时间宣布12月20日在北...
日期:07-15
二三四五好压防护文件安全 MD5校验成亮点
?二三四五好压自上线以来,因其“小、快、轻、便”的特点,在众多压缩App中独树一帜。...
日期:07-12
Vue开发者指南:2019你最需要学些什么?
作为 Vue 的初学者,您或许已经听过很多关于它的专业术语了,例如:单页面应用程序、异步组件、服务...
日期:07-08
  专栏先容
徐彬 的专栏
徐彬发表的文章
积分:
自我先容 :
 

微信扫一扫
下载ITBearAPP

XML 地图 | Sitemap 地图