安基網 首頁 資訊 安全報 查看內容

DDG最新變種v5028,警惕淪為挖礦“肉雞”

2020-7-10 00:22| 投稿: xiaotiger |來自: 互聯網


免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

摘要: 近期,深信服安全團隊捕獲到DDG挖礦木馬最新變種v5028,和之前的變種v5023相比,新版本的DDG挖礦木馬更新了C&C地址及挖礦地址,同時棄用了傳統的i.sh駐留方式。經深信服安全云腦數據統計,該木馬在短短一個月時間已有大量攔截數據,且每日攻擊次數還呈遞增的趨勢。威脅數據根據云腦數據顯示,截止202 ...

近期,深信服安全團隊捕獲到DDG挖礦木馬最新變種v5028,和之前的變種v5023相比,新版本的DDG挖礦木馬更新了C&C地址及挖礦地址,同時棄用了傳統的i.sh駐留方式。

經深信服安全云腦數據統計,該木馬在短短一個月時間已有大量攔截數據,且每日攻擊次數還呈遞增的趨勢。

威脅數據

根據云腦數據顯示,截止2020年6月20號,全網已監測到近大量來自DDG v5028變種的流量攻擊。

攻擊數據攔截地區的分布大致如下,其中天津和北京的攔截數據量最大。

一、版本簡介

自2020年開始,DDG已開始啟用v5版本號,從以往的Memberlist開源P2P通信方式改為了自研的P2P通信方式。

在v5023中有較大更新,木馬會在/var/lib/或/usr/local/下生成隨機名目錄,用于存放P2P通信中獲取到的文件及數據,以及新增jobs配置文件來進行一些較高級的清除異己操作。

本次v5028的更新在于棄用了i.sh的駐留方式。

二、木馬分析

中毒后的主機現象如下,存在一個挖礦進程playstation及隨機名母體進程cqhzxp。

主機上無發現惡意定時任務,通過ssh特征匹配確認該木馬為DDG家族。

本次DDG家族為最新的5028版本,其惡意組件在/var/lib/的一個隨機名目錄下。

重定向域名中,較5025版本新增了www.minpop.com,經過威脅關聯確認這是一個名為shellbot的perl惡意軟件。

借助P2P僵尸網絡,DDG挖礦木馬運行后會隨機從其他失陷主機中拉取slave或jobs配置文件,slave里配置的是攻擊組件的信息,jobs配置的是清除異己家族的信息。

slave配置文件的核心內容如下,使用了2個挖礦程序,MD5分別為cfde21dc48f06da5688e81b1cdeb2b3e和d146612bed765ba32200e0f97d0330c8,新增了2個礦池地址,50.116.37.115和134.209.249.49。同時,slave配置中去掉了i.sh部分的內容,也說明5028變種已棄用i.sh的傳播&駐留方式。

使用開源工具https://github.com/0xjiayu/DDGBotnetTracker解密出目前失陷的主機列表如下。

代碼部分沒有太大變化,新增了killLowCpuMiner函數,用于清除一些智能挖礦的進程。

傳播方式還是沿用了以下4個漏洞進行攻擊:

1.SSH密碼暴破

2.Redis未授權訪問漏洞

3.Nexus Repository Manager 3 RCE漏洞(CVE-2019-7238)

4.Supervisord RCE漏洞(CVE-2017-11610)

三、加固建議

1、Linux惡意軟件以挖礦為主,一旦主機被挖礦了,CPU占用率高,將會影響業務,所以需要實時監控主機CPU狀態。

2、定時任務是惡意軟件慣用的持久化攻擊技巧,應定時檢查系統是否出現可疑定時任務。

3、部分企業還存在ssh弱密碼的現象,應及時更改為復雜密碼,且檢查在/root/.ssh/目錄下是否存在可疑的authorized_key緩存公鑰。

4、定時檢查Web程序是否存在漏洞,特別關注Redis未授權訪問等RCE漏洞。

四、IOC

C&C地址

68.183.186.25

礦池地址

50.116.37.115:443

178.128.108.158:443

134.209.249.49:443

103.195.4.139:443

68.183.182.120:443

樣本MD5

17028FABB703AD98E44691DEDC7C3D1F

cfde21dc48f06da5688e81b1cdeb2b3e

d146612bed765ba32200e0f97d0330c8

轉載來自FreeBuf.COM

"

小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

本文出自:https://www.toutiao.com/a6847335013336220173/

免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


鮮花

握手

雷人

路過

雞蛋

相關閱讀

最新評論

 最新
返回頂部
创业如何赚钱 股票的融资融券信息 宁夏11选五最划算玩法 河北20选5幸运走势 赌博押牛牛做庄的技巧 甘肃十一选五遗漏查询 湖北11选五下载 广东11选5杀一码技巧 股票分析师简介 云南快乐十分官网 股票入门基础知识t 一定牛辽宁12选5走势图 秒速赛车一期5码计划 好运彩票app官方版 体彩排列三近期开机号 贵州快三基本走势图 广东十一选五开奖果一定牛