<small id="hjex1"></small>

        <tbody id="hjex1"></tbody>
      1. <menuitem id="hjex1"></menuitem>
        <menuitem id="hjex1"></menuitem>

          安基網 首頁 資訊 安全報 查看內容

          新型門羅幣挖礦病毒PsMiner,利用高危漏洞大肆傳播

          2019-3-8 11:03| 投稿: xiaotiger |來自: 互聯網


          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

          摘要: 近期,360安全大腦攔截到一款Go語言編寫的新型蠕蟲病毒PsMiner,該病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多個高危漏洞和系統弱口令進行傳播,利用漏洞入侵架設有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服務器的機器,入侵后利用受害 ...

          近期,360安全大腦攔截到一款Go語言編寫的新型蠕蟲病毒PsMiner,該病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多個高危漏洞和系統弱口令進行傳播,利用漏洞入侵架設有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服務器的機器,入侵后利用受害者機器挖取門羅幣。

          整體的病毒流程,如下圖所示:

          上圖中涉及到的各病毒模塊釋義,請參考下表:

          傳播

          systemctl.exe是PsMiner的傳播模塊,使用Go語言進行編寫,集成ElasticSearch,Weblogic,Spring Data Commons,Hadoop,Redis,SqlServer,ThinkPHP等多種服務器的漏洞利用模塊,相關利用模塊的列表如下:

          其中還包括暴力破解相關的利用模塊,PsMiner會通過暴力破解的方式入侵受害者機器,相關模塊如下:

          利用wireshark抓包工具可以抓取到漏洞利用過程中的部分數據包:

          在利用上述漏洞成功入侵用戶機器后會利用cmd.exe執行如下powershell命令:

          下載并執行后續的病毒模塊,入侵后的病毒進程間關系,如下圖所示:

          WindowsUpdate.ps1是整個病毒的主控腳本,負責下載并執行挖礦和蠕蟲模塊,并通過創建計劃任務的方式實現系統駐留和自啟動,相關代碼邏輯,如下圖所示:

          創建名為"Update service for Windows Service"的計劃任務,每隔10分鐘執行一次WindowsUpdate.ps1,相關的計劃任務,如下圖:

          systemctl.exe會在受害者機器上再次運行,進一步通過漏洞去傳播PsMiner。

          挖礦

          PsMiner使用開源的挖礦工具Xmrig CPU Miner,利用受害者機器的算力挖取門羅幣:

          挖礦的配置文件,如下圖所示:

          查詢相關的交易記錄,我們發現在短短兩周的時間內,該礦工累計獲得約0.88個門羅幣:

          安全建議

          1,PsMiner利用的各種高危漏洞,截至目前,相關廠商都已完成修復,建議受影響用戶盡快升級相關的服務器組件。

          2,系統弱口令是蠕蟲病毒傳播的另一途徑,修改系統弱口令在一定程度上能提高系統安全性,防止蠕蟲病毒的感染。

          3,360安全衛士已率先查殺此類木馬,建議受感染的用戶安裝查殺。

          MD5:

          6c1ebd730486534cf013500fd40196de

          976d294c4c782e97660861f9fd278183

          0e0f75aec04a6efa17f54cf90f57927b



          小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

          本文出自:https://www.toutiao.com/a6665532776105640462/

          免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


          鮮花

          握手

          雷人

          路過

          雞蛋

          相關閱讀

          最新評論

           最新
          返回頂部
          北京赛车高手经验分享