WannaMine再晋级,摇身一变成为军火商?

访客5年前黑客资讯664

WannaMine是个“无文件”僵尸 *** ,在侵略过程中无任何文件落地,只是依托WMI类特点存储ShellCode,并经过“永久之蓝”缝隙进犯兵器以及“Mimikatz+WMIExec”进犯组件进行横向浸透。相比较其他挖矿僵尸 *** ,WannaMine运用更为高档的进犯 *** ,这也是WannaMine能够存活至今的原因之一。WannaMine最早呈现在公众视界是2019年末,在对WannaMine的继续盯梢中360剖析人员发现,WannaMine或许现已开端为其他黑客安排供给兵器。

图1 WannaMine进犯简图
自WannaMine呈现到2019年3月的这段时刻中,WannaMine较为沉寂,只是替换了几回载荷保管地址。2019年3月起,WannaMine开端进犯搭建于Windows操作系统上的Web服务端,包含Weblogic、PHPMyAdmin、Drupal。图2展现了WannaMine在2019年2月到4月载荷保管地址以及进犯方针的改动。

图2 WannaMine在2019年2月至4月载荷保管地址与进犯方针的改动
因为3月份的这次更新使WannaMine添加了进犯方针,其操控的僵尸机数量也随之大幅度添加。僵尸 *** 规划的扩大使僵尸 *** 操控者急于将利益更大化,果不其然,WannaMine在6月份的更新之后呈现了为其他黑客安排工作的痕迹,这能够从一个表格表现出来。表1展现了WannaMine自2019年2月以来的载荷保管ip地址以及其时解析到该ip地址的域名(表格按时刻先后从上往下摆放)。
表1
载荷保管ip地址
运用时解析到该ip地址的域名
195.22.127.157
node3.jhshxbv.com、node.jhshxbv.com、 node4.jhshxbv.com、node2.jhshxbv.com
107.179.67.243
stafftest.spdns.eu、profetestruec.net
45.63.55.15
不知道
94.102.52.36
nuki-dx.com
123.59.68.172
ddd.parkmap.org、yp.parkmap.org
93.174.93.73
demaxiya.info、fashionbookmark.com
121.17.28.15
不知道
195.22.127.93
www.windowsdefenderhost.club
198.54.117.244
update.windowsdefenderhost.club
107.148.195.71
d4uk.7h4uk.com
185.128.40.102
d4uk.7h4uk.com、update.7h4uk.com、 info.7h4uk.com
185.128.43.62
d4uk.7h4uk.com、update.7h4uk.com、 info.7h4uk.com
192.74.245.97
d4uk.7h4uk.com
87.121.98.215
不知道
172.247.116.8
不知道
从表格中不难看出,前期WannaMine所运用的载荷保管ip地址常常改动,而且经过域名反查得到的域名都是不同的,这表明WannaMine或许运用僵尸 *** 中的某一台僵尸机用于保管载荷,每次进行更新后,WannaMine就替换一台保管载荷的僵尸机。自107.148.195.71这个ip地址之后,WannaMine运用的接连4个载荷保管地址都是域名d4uk.7h4uk.com所解析到的地址,这种状况在之前是不存在的。而这个时刻正是6月份WannaMine进行更新的时刻节点,这在360安全卫士每周安全形势总结( http://www.360.cn/newslist/zxzx/bzaqxszj.html)中提到过。在这次更新中,WannaMine运用Weblogic反序列化缝隙进犯服务器后植入挖矿木马和DDos木马。值得一提的是,这次WannaMine还运用了刚刚问世不久的Wmic进犯来bypass UAC和逃避杀毒软件的查杀。

图3 WannaMine 6月份建议的进犯流程
在WannaMine的这次更新中存在了多个疑点,这些疑点暗示此刻的WannaMine操控者或许与之前的显着不同:
1.WannaMine在3月份到4月份现已建议大规划针对Weblogic服务端的进犯,僵尸 *** 现已操控了许多Weblogic服务端,为安在6月份的更新之后还要对Weblogic服务端建议进犯。
2.为何自6月份以来WannaMine的载荷保管域名都是d4uk.7h4uk.com。
经过对域名d4uk.7h4uk.com的盯梢能够发现,该域名在2019年4月中旬开端被一个黑客安排运用,这要远早于WannaMine对该域名的运用,而该黑客安排在进犯 *** 以及意图上也与WannaMine截然不同。该黑客安排经过Weblogic反序列化缝隙CVE-2019-2628侵略服务器,往服务器中植入DDos木马。DDos木马的载荷保管地址为hxxp://d4uk.7h4uk.com/w_download.exe,这与WannaMine开释的DDos木马的保管地址符合。

图4 该黑客安排运用的进犯代码
尽管载荷保管地址与之后WannaMine运用的载荷保管地址相同,可是4月中旬的进犯中所有进犯文件都是落地的而且没有WannaMine代码的痕迹,其凭借sct文件完成继续驻留的 *** 也和WannaMine凭借WMI完成继续驻留的 *** 有所不同。能够判定,这来自于与WannaMine不同的另一个黑客安排。
别的,从WannaMine 6月份更新后的代码特征也不难发现,其代码进行了稍微修正,加入了RunDDOS、KillBot等多个函数,这些函数 *** 入了之前多个版别中都未被修正过的fun模块(fun模块用于进行横向浸透),而且与fun模块的原始功用十分不搭,此外 RunDDOS中将DDos

[1] [2]  黑客接单网

相关文章

选个“靶子”练练手:15个缝隙测验网站带你飞

俗话说进攻是最好的防护,而这与信息安全国际并没有什么不同。经过这15个成心存缝隙网站来提高你的黑客技术,你会成为最好的防卫者——不管你是一名开发人员、安全管理者、审计师或许测验人员。请紧记:游刃有余...

外国黑客接单_如何找黑客查看老婆微信聊天记录-黑客找qq的视频下载

「外国黑客接单_如何找黑客查看老婆微信聊天记录-黑客找qq的视频下载」0x020100 SPI接口界说Spider(蜘蛛)——运用智能感应的网络爬虫,它能完好的枚举运用程序的内容和功用。...

rar解密软件-it学习网站

SplashData剖析的这500万被走漏的暗码主要是北美和西欧的用户,成人网站走漏的暗码不包含在剖析陈述中。 假如没看的话,我先带咱们温习一下昨日晚上都说了哪些作业脚本转化(transcriptio...

黑客技术教程_找黑客修改嘉邦环球余额能出金不-怎么找黑客黑掉微信公众号

「黑客技术教程_找黑客修改嘉邦环球余额能出金不-怎么找黑客黑掉微信公众号」经过运用app的运用,发现后台规划存在两个问题:那么又研讨了一些这意味着假如浏览器发送如下的HTTP恳求到localhost:...

黑客QQ接单_专业黑客到哪找

灰盒测验是根据程序运转时间的外部体现一起又结合程序内部逻辑结构来规划用例,履行程序并收集程序途径履行信息和外部用户接口成果的测验技能。 下面依据病毒传达影响规划、损害巨细列出最常用的几种进犯方法。 s...

有一个黑客接单的网站_网络危机信息处理

V3版别Powershell版别· 加拿大的圣弗朗西斯·格扎维埃大学(St.Francis Xavier University)被曝出校园网络遭到黑客侵略,并被安装了用于挖矿的歹意软件。 随后校园被逼...