主页 > 苹果手机imtoken怎么下载 > 【原创】比特币市值飙升催生大量Golang编写攻击云主机的挖矿木马
【原创】比特币市值飙升催生大量Golang编写攻击云主机的挖矿木马
一、背景
受近期比特币价格暴涨和数字虚拟货币整体市值飙升的影响,挖矿木马十分活跃。 腾讯安全威胁情报中心检测到利用Redis未授权访问漏洞直接编写计划任务下载golang语言编写的挖矿木马下载器超人。 罗币挖矿。
腾讯安全近期捕获到大量使用golang语言编写的各种脚本木马。 这些木马利用多个不同Linux服务器组件的高危漏洞或弱口令入侵云服务器挖矿。 这些挖矿木马分析溯源后发现,它们属于不同的黑业团伙,意为“千军万马,漏洞百出,武器弱口令,抢夺云主机挖金”。 . 腾讯安全专家建议政企机构安全运维人员及时修复漏洞,排查弱口令,防止服务器成为黑产业控制的黑鸡。
在这个例子中,一些政企机构在使用Redis时,由于redis的配置不当,比如使用空密码或者弱密码,攻击者可以直接访问redis服务器,通过这个问题可以直接写定时任务比特币挖矿器下载,甚至可以得到直接服务器权限。
腾讯安全专家推荐修复建议:
1、对于没有配置redis密码访问的,需要配置添加用户和密码访问。 弱密码需要强密码。
2、如非必要,不要对外开放redis端口。 如果需要对外开放服务,请正确配置ACL策略。
清理利用漏洞的挖矿木马:
1、清除定时任务中的python3.8m.sh相关条目。
2、确认JavaUpdate和mysqlserver进程异常后,将其杀掉。
3.删除/var/tmp/下的.system-python3.8-Updates和.Javadoc文件夹。
针对supermanminer系列挖矿木马活动,腾讯安全全系产品均已响应拦截。
详细回复列表如下:
2.详细分析
在使用redis应用时,没有配置访问策略,使得攻击者可以直接使用弱口令或空口令访问redis应用,并通过应用直接向系统写入定时任务或者通过写ssh直接控制服务器公钥文件。
通过 Unauthorized 直接写入计划任务
在/var/spool/cron/root 中可以看到如下内容
通过定时任务将脚本下载到pastebin并执行。
下载的脚本内容是用base64编码的
解码内容:
这个脚本的主要作用是判断当前宿主进程是否包含路径/var/tmp/.system-python3.8-Updates,然后指定下载superman文件的站点,命名为f并存放在 /var/tmp/ 目录中。 运行后删除这个文件。
superman 是一个用 go 编写的下载器。 其主要功能是下载核心挖矿程序xmrig和配置文件,并重新下载superman,命名为mysqlserver,写入定时任务持久化运行。
定时任务是运行超人后写的。
python3.8m.sh的内容是:
脚本中的mysqlserver在superman下载后重命名,存放在.system-python3.8-updates路径下。
通过流量分析发现木马会频繁请求,域名对应的IP一直在变化。 本网站主要是查询在NameSilo注册的域名的whois信息。
通过查看网站源代码,发现源代码中嵌入了一些内容,包括xmirg下载链接、矿池配置、超人下载链接和文件大小等。
通过查询该域名的相关信息,该域名与namesilo属于同一个组织,判断网站helloomeyou被攻击后比特币挖矿器下载,将这些内容嵌入到网站中。
通过对超人文件的分析,发现其通过正则表达式匹配了相应的内容,分别匹配了超人下载的url、xmrig的下载路径、文件大小和矿池的配置内容。
超人文件通过github下载xmrig文件,命名为JavaUpdate,存放在/var/tmp/.Javadoc/路径下。 同时通过匹配的矿池内容修改对应的config.json文件。
配置文件内容:
其中,用于挖矿的矿池:54.37.7.208:443(xmrpool.eu)
挖矿钱包:
88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6
根据其223Kh/s的钱包算力计算,该挖矿团伙控制了约10000台电脑进行挖矿。
超人是用 Go 语言编写的。 除了启动挖矿程序外,它还具有下载文件、执行任意程序、执行远程命令、在线升级、安装crontab定时任务等功能。
国际奥委会
网址
hxxp://138.124.180.20:8080/超人
hxxps://github.com/xmrig/xmrig/releases/download/v6.6.1/xmrig-6.6.1-linux-x64.tar.gz
hxxps://pastebin.com/raw/xnxWdRJ8
hxxp://www.hellomyyou.cyou/
MD5
Java更新
a66c6c00d09529066b03070646127286
超人/mysqlserver
96dc8dcd5bf8f6e62c3ce5219e556ba3
矿池地址
xmrpool.eu
钱包地址
88XEAsyefa9DyzyMJSdcEUR9PJPphWrSp632D2ia83zuJHLKDBxQZ1iDSVY8MspBoFiqdZdQupm4xBasSkahdfdXRuUU1j6
参考链接:
【2022冬季班】《Android高级研修班(网络课程)》正在招生中,月薪3万~