Outlaw黑客组织通过僵尸 *** 传播挖矿机和木马-黑客接单平台

访客5年前黑客文章769
TrendMicro研究人员检测到一个传达含有门罗币挖矿机和Perl后门组件的僵尸 *** 的URL。研究人员发现这与Outlaw黑客安排之前进犯活动中运用的办法相同。 研究人员在剖析中发现进犯者运用了一个可履行的SSH后门,并且这些组件以服务的方式装置来为歹意软件供给驻留。根据Perl的后门组件能够发动DDoS进犯,答应犯罪分子经过供给DDoS即服务和加密钱银挖矿机来运用僵尸 *** 获利。 但研究人员以为该进犯活动背面的进犯者或许在测验和开发进程,由于还有shell脚本组件在TAR文件中没有履行。 到现在,研究人员监测到了来自我国的感染活动。 进犯办法 数据显现歹意软件经过SSH暴力破解进犯来获取体系的拜访权限,并履行两个或许的指令文件。文件组件和办法与之前的剖析是一向的,剖析的样本中履行了.x15cache,bash脚本会下载歹意软件。 图 1.经过SSH暴力破解进犯机器 Shell脚本会下载、提取和履行挖矿机payload。提取的TRR文件包括含有脚本、挖矿机和后门组件的文件夹。 图 2. 提取挖矿机payload和后门组件 图 3. 提取的TAR文件树 文件夹a含有cron和anacron二进制文件,是歹意软件运用的加密钱银挖矿机。其他的文件是担任挖矿机组件履行,铲除和删去其他体系中的竞赛挖矿机。文件夹b含有后门组件和shell脚本。 其间一个文件就说rsync,这是初始混杂的根据Perl的shellbot,能够履行文件下载、shell cmd履行和DDOS这样的多个后门指令。 图 4. 混杂的Perl脚本 图 5. 解混杂的rsync代码段 另一个文件ps,是一个作为SSH后门的Linux可履行文件。 图 6. SSH后门 文件树显现文件夹c是空文件夹。它也含有多个二进制文件和shell脚本,但履行进程中只要一些为你教案履行了。从蜜罐中获取的样本来看,这说明进犯活动正在测验或开发阶段。研究人员以为未来进犯者或许会运用这些没有运用过的文件。 剖析ps测验衔接的URL,研究人员发现了含有压缩文件dota[.]tar[.]gz的mage[.]ignorelist[.]com。它含有x.15cache下载的TAR文件夹相同的a和b文件夹,c文件夹含有文件t *** 32和 t *** 64,以及其他可履行文件和组件。 图 7. 文件夹c 文件t *** 32和t *** 64是担任经过SSH暴力破解传达挖矿机和后门的扫描器,能够发送长途指令来下载和履行歹意软件。 图 8. t *** 32 图 9. t *** 32发送的长途指令 .satan 文件是一个shell脚本,会将后门歹意软件以服务的方式装置。在Linux中,以周期开端的文件是躲藏的。 图 10. .satan 文件 定论 研究人员是从2019年开端发现Outlaw的进犯活动的,研究人员注意到它很快从测验和开发阶段到侵略了超越20万主机,其间也包括一些移动设备。在该进犯活动中,研究人员得到一些关于进犯仍处于前期阶段的进犯活动。经过侵略和感染体系能够使扩展其监听和扫描的才能,报告给C2服务器,发动DDOS进犯。 这些运用的技能也被广泛运用,并且在地下商场在不断地交流。Outlaw交融了歹意加密钱银挖矿机和根据Perl的后门将受害者机器变成了僵尸 *** 和DDoS服务。假如Perl装置在机器中,运用Perl编程言语作为后门能够保证歹意软件的灵活性,由于既能够在Linux操作体系也能够在Windows操作体系中运转。假如该代码出售的话,代码的驻留、运用、修正和履行要愈加简略一些。 研究人员还注意到服务器上保存的APK文件的存在,意味着假如犯罪分子决议除了感染服务器外还会进一步进行进犯,进犯者或许会进犯根据安卓的设备。

相关文章

黑客接单需要保证金,怎么联系黑客看微信聊天记录,黑客上哪找

这一关难度增加了一点点,不过毕竟是基础训练。 这儿要用到“管道”的常识,详细请谷歌^^; 直接用:安全线知乎:https://www.zhihu.com/people/sui-mr/pins/post...

你知道吗?图形验证码或许导致服务器溃散

图片验证码是为了避免歹意破解暗码、刷票、论坛灌水等才呈现的,可是你有没有想过,你的图形验证码居然或许导致服务器的溃散? 那他是怎么导致的呢?请听我婉婉道来。 先看看各大渠道对待此缝隙的情绪: 运用进程...

怎么查看微信登录痕迹_那里可以找到黑客联系方式-受骗之后找黑客

「怎么查看微信登录痕迹_那里可以找到黑客联系方式-受骗之后找黑客」Password:  哈哈,00切断成功了。 4.网络装备文件有两个: /// <param name="sql"...

当心浏览器插件盗取你的隐私

 阅读器插件现已成为了阅读器的必备品,可是商场上的插件也良莠不齐,乃至部分插件切换用户隐私,如阅读器的历史记录。笔者就遇到了这样一个插件,便是闻名的手势插件:crxMouse Chrome Gestu...

我老婆因为我赌博走了,后来我聊微信她说过一段时

实践上,有一个Envoy含糊测验方针采用了一种不同的办法来对有状况API进行测验:它运用定制的protobuf音讯类型对动作序列进行编码,并完成了针对这些类型的播放器。 支撑(主动记载歹意指令)1.1...

winrar文件密码破解,找黑客改教务系统成绩会被判刑吗,找黑客查监控

0x01 一个waf的绕过进程 一个邮件软件NBC对Corenumb所反映的状况,敏捷给予了回应。 但到目前为止,还没有任何音讯可以标明该缝隙现已得到修正。 而能让我们感到欣喜的一点是,一些热心...