首页 科技正文

usdt自动充值(www.caibao.it):对Rudeminer,Blacksquid和Lucifer的对照研究

admin 科技 2021-01-22 23:03:03 67 0

USDT自动充值接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

Lucifer是针对Windows挖矿和DDOS的混合型恶意软件,研究人员在今年6月份揭晓了一份讲述,详细先容了其攻击流动,最近又有新的证据解释这个攻击是从2018年更先的。

它最初是一个以Windows系统为目的的具有自我流传能力的挖矿软件,现在已经生长成为一个多平台、多架构的恶意软件,目的是Linux和物联网装备。

从ThreatCloud *** 的数据显示,美国、爱尔兰、荷兰、土耳其和印度的25多个组织最近受到袭击。攻击来自多个领域,包罗制造业、执法、保险以及银行业。

当前物联网装备的主要攻击前言是通过行使称为CVE-2018-10561的破绽,该破绽针对未打补丁的Dasan GPON路由器装备。

该恶意软件具有多种功效:多种类型的DDOS攻击,能够下载和执行文件的完整下令和控制操作、远程下令执行、使用Xmrig挖掘软件举行门罗币挖掘以及通过种种行使手艺在Windows系统中自我流传。

攻击流动先容

攻击源自受到被攻击者损坏的服务器,图1显示熏染链是多平台的,而且针对Windows,Linux和物联网装备。然后,受熏染的Windows计算机继续将恶意软件流传到 *** 内部和远程目的。

更新的熏染链

恶意软件中显示了一个有趣的字符串序列:

在最近的Windows,Linux,ARM和MIPS示例中找到的字符串

对这些字符串的进一步研究使我们举行了两个流动,一个被趋势科技发现,他们称之为BlackSquid,另一个被腾讯发现,称为Rudeminer / Spreadminer。

还可以通过追踪金融纪录(在我们的案例中为所使用的XMR钱包)将这两个流动与Lucifer流动相关联。

通过使用的XMR钱包追踪到了三个攻击流动

当我们探索使用图3中第一个钱包的Blacksquid样本时,我们发现了两个险些相同的样本(样本1和样本2)。

这两个样本的互斥模式都相同:

BlacksquidXMRstratum+tcp://[Miner pool address]:[port]

第一个样本使用图3中的第一个钱包,第二个样本使用第2个钱包。

第二个钱包还用于其他种种Lucifer样本(样本3),从而使我们能够关联两个恶意软件。将Blacksquid攻击系列与Spreadminer关联起来对照研究确实对照复杂,由于腾讯(示例1)中提供的示例使用了没有XMR钱包的自界说XMR挖矿池。

然则,我们能够找到一个险些相同的样本(样本2),其中使用的是第1个钱包。

Blacksquid流动中使用的XMR钱包提供了2018年底的样本,这解释攻击者更先行动的时间甚至更早。

凭据这些发现,我们创建了以下时间表:

这个流动中变种泛起的时间线

在该恶意软件的Linux变体中可以找到另一个有趣的字符串:

在Linux版本的恶意软件中使用的字符串

我们以为该字符串是对腾讯公布的名为“Rude”恶意软件的回应。

这些发现解释,此流动背后的攻击者已经活跃了一年半多,而且该恶意软件一直在生长和升级其代码库。

从公然的数据来看,我们估量Lucifer攻击给攻击者带来了18.643456520496 XMR,大约是1769美元。

由于旧的XMR钱包现已被封锁,因此无法知道Blacksquid和Spreadminer攻击家族赚了多少钱。 DDOS功效的增添解释攻击者正在追求扩大恶意软件的赚钱方式。

Windows的自我流传功效是基于过时的和公然可用的破绽行使以及暴力攻击。随着时间的推移,Windows自身功效只发生了细小的转变,这可能解释攻击者已经乐成地使用了这些方式。

新流动的第一批样本于2020年2月被上传到VirusTotal网站,之后的几个月里又上传了一些样本,新的样本仍在检测中。

迄今为止,第一个也是唯一的ARM示例已于5月10日上传到VirusTotal。

VirusTotal中的ARM示例列表

现在尚未确定此样本是否是恶意的,ARM示例仅具有DDOS功效,而且与Linux示例具有差别的行为,这可能是由于物联网装备引起的限制。

C2服务器具有可公然接见的HFS服务器,可让我们眼见攻击的演变:

最新的二进制样本已上传到C2 HFS公共服务器

正如你所看到的,流动在不断生长并公布新版本。上传的“office.exe”,“ *** 360..exe”可执行文件是gh0st RAT的变体,这解释攻击者想要扩展受熏染计算机中的恶意软件功效。

没有删除Linux,ARM,MIPS版本的调试符号,这使我们能够将所有平台的新版本的代码库关联到2009年以来的中文DDoS程序,该程序称为“Storm Attack Tool VIP 2009”,人们可以在种种开放源代码的中文网站上找到这个程序的下载版本。

Storm攻击工具面板的图像

所有最新版本的DDoS攻击都来自该软件,恶意软件的其余部门被严重修改为其他功效,例如完整的C&C操作,门罗币挖矿,Windows系统中的自我流传以及Linux和物联网装备的端口。

在本文的其余部门,我们将深入研究Linux,ARM和MIPS示例。

Linux x86 / x64

Linux版本与Windows版本的差别之处在于,它不具有自我扩展功效。此外,Linux样本未删除调试信息。

乐成行使后,恶意软件使用daemon下令将自身与终端星散,并在后台作为守护程序运行。

恶意软件会检查是否能够设置用于绑定到端口,端口号取决于版本,最新版本使用端口20580。若是恶意软件无法设置套接字或绑定到套接字,则退出。绑定之后,没有挪用listen函数来现实更先监听该端口。

套接字的目的不是通讯而是强制执行以下行为:一次只能运行一个历程的恶意软件,由于不能有多个套接字使用统一端口。

该恶意软件为以下信号设置了三个信号处置程序函数:

SIGPIPE:对被攻击的管道执行写入操作;

SIGTERM:请求终止程序;

SIGINT:请求程序正常关闭;

恶意软件执行以下下令:

/ *** in/service crond start;chkconfig –level 35 crond on;

下令的第一部门启动crond服务,第二部门将crond服务设置为在以下运行级别上运行:

,

Usdt第三方支付接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

多用户模式,仅控制台登录。

多用户模式,具有显示管理器和控制台登录名(X11)。

chkconfig下令失败,由于它在-level 35之前缺少另一个连字符。

这两个下令仅适用于基于CentOS / RHEL的发行版。

恶意软件的下一个目的是增添文件描述符限制,UNIX的界说功效之一是“一切都是文件”,套接字也是云云。

当恶意软件提议DDoS攻击时,它需要打开尽可能多的套接字,以将尽可能多的流量发送到目的。

这可以通过在OS设置中增添文件描述符限制来实现,为了更改文件描述符限制,恶意软件首先检查User ID。当程序以root用户身份运行时,其用户ID为零。若是恶意软件以用户ID为0 (root)运行,则:

执行下令:ulimit -HSn 65536;

在文件/etc/sysctl.conf中添加“fs.file-max到6553560”行;

将这些行添加到file /etc/security/limits.conf中:

soft noproc 65535
hard noproc 65535
soft nofile 65535
hard nofile 65535

若是它没有以用户ID零运行,它将按以下顺序发出两个下令:

ulimit -HSn 4096
ulimit -HSn 10240

恶意软件首先以较小的限制然后以更大的限制运行这两个下令,若是增添失败,则较小的限制就是备用选项。

恶意软件的持久性只发生在用户ID为0时:

1.若是file /etc/rc.local存在,则恶意软件会在该文件中写入或附加以下行:

MALWARE_PATH start

2.恶意软件在file/etc/crontab中写入以下行:

*/1 * * * * MALWARE_PATH

在所有正常的系统服务启动之后,将执行/etc/rc.local剧本。添加到crontab中的这行代码会导致Linux每分钟都在执行这个恶意软件。

恶意软件设置其持久性后,它将解密以下五个字符串:

1.C&C地址:qf2020[.]top;

2.Xmr挖矿程序的参数列表:-o stratum+tcp://pool.supportxmr.com:3333 -u 4AfAd5hsdMWbuNyGbFJVZjcMLeKHvrXnT155DWh8qGkYRPbVGK *** 9q1Z5gcFXqmwUuh2Kh6t2sTnHXPysYrGf2m9KqBwz9e -p X;

3.Xmr挖矿程序的参数列表:-o stratum+tcp://gulf.moneroocean.stream:10001 -u 4AfAd5hsdMWbuNyGbFJVZjcMLeKHvrXnT155DWh8qGkYRPbVGK *** 9q1Z5gcFXqmwUuh2Kh6t2sTnHXPysYrGf2m9KqBwz9e -p X -a cn/r;

4.Xmr挖矿程序的位置:/ tmp / spreadtop;

5.Xmr挖矿程序的网址:122[.]112[.]179[.]189:50208/X64;

初始化之后,恶意软件通过启动以下五个线程来启动主要逻辑:

1.挖掘线程:它首先下载挖矿程序并将其保存到/tmp/spread中。这使它能够确保挖掘程序正在运行,并在需要时住手或重新启动挖掘历程。

2.历程阻止线程;

线程实验查找和阻止以以下字符串之一开头的历程:

· Linux-;

· 25000;

· Linux2.6;

· Linux2.7;

· LinuxTF;

· 挖矿程序;

· 获取 *** 使用线程;

· 获取CPU使用线程;

· 将挖掘,CPU使用情况和 *** 使用情况讲述发送到C&C服务器;

讲述新闻示例

在线程设置好之后,恶意软件更先一个无限循环,并保持与C&C的恒定毗邻。

C&C下令模式:

Linux ARM / MIPS

ARM / MIPS版本是Linux的较简朴版本,它们仅包罗DDoS功效。

初始化与Linux版本中的初始化险些相同,他们使用守护程序举行星散,并使用套接字绑定方式来确保只有一个正在运行的历程。

该恶意软件仅为SIGPIPE设置信号处置程序,若是它以root身份运行,则它将文件描述符限制增添到20480,并将其路径写入/etc/rc.local文件以实现持久性。

若是不是以超级用户身份运行,它将文件描述符限制增添到4096。然后,恶意软件解密C&C地址:tyz2020[.]top。初始化后,恶意软件通过启动以下一个线程来启动主要逻辑:看门狗通讯线程;

首先检查以下装备是否存在:/dev/watchdog或/dev/misc/watchdog.

若是其中一个存在,则使用ioctl WDIOC_SETTIMEOUT将看门狗超时时间增添到15秒。然后线程更先一个无限循环,每10秒将ioctl WDIOC_KEEPALIVE发送给Watchdog。

看门狗的作用是确保系统稳固。

在系统问题的情况下,用户空间Watchdog住手写入Watchdog装备,而内核Watchdog重新启动装备。

通过使用此线程,恶意软件可确保监视装备始终将数据写入监视程序装备。这样可以防止装备重启。

如前所述,在确立线程之后,恶意软件会启动无限循环并保持与C&C的恒定毗邻。

C&C下令模式:

模式4对目的提议DDOS攻击;

模式5住手当前的DDOS攻击或重新启用以后的攻击;

总结

正如我们在本文中所先容的那样,该流动正在不断生长以跨平台,并增添了获取利润和流传自身的新方式。纵然攻击者使用已知的攻击来熏染计算机和自我流传,也并非总是对所有系统举行更新。当组织的密码计谋微弱时,暴力破解可能会有用。

在撰写本文时,这些是攻击者在所有体系结构和平台上使用的功效:

我们信赖该攻击流动将继续生长,包罗修改Windows中当前的自扩展方式和功效,并将其添加到Linux,ARM和MIPS版本中。

本文翻译自:https://research.checkpoint.com/2020/rudeminer-blacksquid-and-lucifer-walk-into-a-bar/:
技术
版权声明

本文仅代表作者观点,
不代表本站锡林郭勒盟新闻频道的立场。
本文系作者授权发表,未经许可,不得转载。

发表评论

评论列表(0人评论 , 67人围观)
☹还没有评论,来说两句吧...