色情广告挂马剖析:记一次挂马与挖矿之间的“密切触摸”

访客5年前黑客文章603

1. 布景:
近来,腾讯安全反病毒实验室发现,有一类木马经过网页广告挂马的 *** 大规划传达。广告内容为色情链接,诱导用户点击。链接中嵌入了一段触发IE缝隙的 *** 脚本,假如用户电脑的IE浏览器没有及时打好补丁,那么点击链接后将会中招。 木马除了给受害者电脑上增加后门、盗取隐私信息之外,还会运转数字钱银挖矿的程序从中获利。一起反病毒实验室还发现,木马作者服务器上还保存着 linux 等渠道的木马,以及很多受控服务器后台地址,有或许进一步发起挖矿等更大规划的进犯。
下面带来具体的剖析。
2. 技能剖析:
2.1. 挂马
色情广告网页中内嵌了带有混杂的 *** 脚本

解密后是使用 CVE-2019-0189 缝隙

CVE-2019-0189 缝隙是 IE 浏览器脚本引擎缝隙,影响 IE9/10/11 浏览器,因为缝隙使用简略且影响规模大,稳定性好,不容易形成溃散, CVE-2019-0189 缝隙现已成为黑客最常用的缝隙东西之一。木马会从服务器上下载可履行文件在用户电脑上履行。

登录到木马的服务器,发现木马服务器上寄存着有pe ,elf,压缩包 等格局的文件。文件中包括了后门木马程序,开源挖矿东西以及疑似被进犯方针,下面咱们从这几个方面进行 具体介绍 。

2.2. 后门木马
服务器上Server.exe,build.exe ,dashu.exe三个文件,是同一类型的后门程序。 经过比照,只是在创立服务程序时,服务称号和描述不一样

 
后门程序之一次运转时会查看服务是否现已存在,假如不存在的话,会把自己重命名为随机文件名,然后拷贝到 C:windowssystem32 文件夹下, 以服务的 方式发动

假如是经过服务的方式发动,就履行后门逻辑。

 
现在剖析,后门首要的损害包括:下载并履行歹意文件,发动IE拜访某个 歹意URL等。

 
这儿下载的可履行文件,黑客能够依据自己的需求进行装备。假如装备了服务器上寄存的挖矿程序 system.exe,那么此刻 肉鸡就变成了黑客的发财东西。
除了以上两个功用外,还包括了大约31种其他的与服务器进行交互的功用。根本思路是承受服务器 传来的参数,解密并履行。
经过剖析,服务器上寄存 *** wang、gnmbs 等 elf 文件,也是带有后门功用的 linux 木马 。

2.3  挖矿东西
服务器中的最终一个 system.exe 是与挖矿有关的可履行文件。运转后,system.exe 会在 C:sys  目录下开释多个 文件,随后拉起 nheqminer1.exe 进程,运转参数包括矿池地址和钱包地址, 并修正注册表 ,设置 system.exe 开机自发动,这样中招用户每次开机后,都会履行挖矿的程序,给木马作者带来 连绵不断的收益。

上图展现的 system.exe 所开释的文件,归于 github 开源的挖 矿结构 nheqminer 。这儿发掘的是 Zcash ,Zcash 相似比特币 ,但又有所不同。比特币等数字钱银以买卖的隐蔽性著称,但能够经过比特币区块链的记载追寻买卖,人们能够精确获悉比特币的发送者。Zcash 对买卖数据进行了匿名处理,而不是像比特币那样要将买卖数据公布于群众。一起 , 挖矿耗费资源较少,个人电脑即可满意挖矿的需求。
2.4. 被进犯方针
ips.rar 文件中寄存的是扫描到的布置有 phpmyadmin 的服务器地址

 
这些 ip 根本都是某云 服务商的服务器地址,黑客方针或许是想进犯 布置在其服务器上的使用。搜索黑客挂马服务器的ip,也能看出一些端倪。

[1] [2]  黑客接单网

相关文章

EMV体系的安全性评价

电子商务、移动付出的遍及,顾客越来越少随身携带现金,人们玩笑道“小偷都快赋闲了”。但在互联网上,靠偷盗用户电子账户资金、虚拟财物的“网络小偷”却非常猖狂。 各种途径走漏的个人信息被加工、转卖,并用于电...

DVNA:Node.js打造的开源攻防渠道

这是一款仍在活跃研制中的软件,假如你想要现在测验它现有缝隙,需求确保自己添加了Express结构。 DVNA简介 首要,期望咱们多多支撑UX/UI,协助咱们修正bug和优化文档。 DVNA(Damn...

这名黑客的四行代码让数千台打印机宣扬种族主义

在此前,咱们了解了关于侵略打印机的一些原理及方法,如《运用无人机或吸尘器黑掉企业无线打印机》、《我是怎么黑掉惠普打印机的?》,现在居然有人对衔接公共网络的打印机成功施行了侵略。Andrew Auer...

一份来源未知的数据,揭秘了OilRig组织的全部信息(下)-黑客接单平台

Webshells Webshell用于与受感染服务器交互。走漏数据中包含了三个webshell,分别为HyperShell、HighShell和Minion,Minion很可能是HighShell的...

一个MongoDB注入进犯事例剖析

在开端咱们的MongoDB“注入之旅”之前,咱们需求先知道和其他数据库比较,为什么咱们更乐意选MongoDB——由于MongoDB并不是SQL作为查询句子,所以人们可能会认为这样的数据库难以进行注入进...