网站建设、公众号开发、微网站、微商城、小程序就找牛创网络 !

7*24小时服务专线: 152-150-65-006 023-68263070 扫描二维码加我微信 在线QQ

网络安全工具团结互助,让我们共同进步!

当前位置:主页 > 技术资讯 > 工具 > 网络安全工具 >

我们的优势: 10年相关行业经验,专业设计师量身定制 设计师一对一服务模式,上百家客户案例! 企业保证,正规流程,正规合作 7*24小时在线服务,售后无忧

Mirai僵尸网络:Go语言重新编译Mirai;涉及多种架构(ARM、ARM64、x86、x64、MIPS);加密货币挖矿功能;SSH爆破;路由器漏洞传播感染

文章来源:重庆网络安全 发布时间:2020-02-01 10:45:25 围观次数:
分享到:

摘要:僵尸网络基于Mirai源代码开发的,增加了挖门罗币的功能。 LiquorBot是用Go开发的。 与传统的C语言代码相比,Go提供了许多其他编码优势,例如内存安全性,垃圾回收,结构类型等。

    僵尸网络基于Mirai源代码开发的,增加了挖门罗币的功能。LiquorBot是用Go开发的。 与传统的C语言代码相比,Go提供了许多其他编码优势,例如内存安全性,垃圾回收,结构类型等。

     LiquorBot被交叉编译为多种架构,针对各种CPU架构,包括ARM,ARM64,x86,x64和MIPS。 在感染过程中,Dropper脚本将下载所有BotPayload,并且没有基于目标设备的CPU架构的逻辑过滤。

    Dropper脚本代码本身并不多,主要用于从攻击者控制的服务器获取源文件。 该脚本的另一个有趣的功能是它使用“#!/ Bin / sh”,比使用“#!/ Bin / bash”更稳定和可靠。 除此之外,由于脚本似乎未加载“ bash”支持的任何特定功能,因此恶意软件开发人员选择了“ sh”变体作为系统脚本应使用的默认Shell。

image.png

攻击者使用的矿工配置脚本似乎还为CPU挖掘算法设置了不同的hash:

LiquorBot功能

  与Mirai相似,LiquorBot混淆其字符串并将其存储在映射表中。 每次访问条目时,都需要在每个字符串中添加值“ 0x51”以完成解密。 下图列出了LiquorBot解密字符串:

它还从Mirai借用了另一个功能,即通过尝试端口绑定来确保单个Bot可以在目标设备上正常运行。  Bot使用的主机地址和端口将作为参数发送到映射表中的“ net.Listen”(条目9)。 其他版本的Bot会将侦听端口设置为42007。

image.png

执行开始后,Bot将重新启动并尝试作为sshd守护程序运行。


  Bot还以以下形式更新DNS解析器,并将数据写入/etc/resolv.conf:

image.png

Bot的生命周期还包括一个清理阶段,该阶段将删除所有植入的文件(/tmp/.lmr、/tmp/.ldrop、/tmp/config.json)并清除Bash历史记录。


  Bot与多台服务器通信:


  1. CnC:Bot向服务器报告目标设备的漏洞,并从服务器接收控制命令;


  2.Mining服务器;


  3.托管恶意代码的服务器;


  C&C服务器可以响应以下命令:


 download


rget


exec


Shutdown


  恶意软件传播


  LiquorBot可以利用某些关键的CVE漏洞以及各种其他命令注入和远程代码执行漏洞,包括但不限于:


  CVE-2015-2051,CVE-2016-1555,CVE-2016-6277,CVE-2018-17173,CVE-2017-6884,CVE-2018-10562,CVE-2017-6077,CVE-2017-6334,CVE-  2016-5679,CVE-2018-9285,CVE-2013-3568,CVE-2019-12780

入侵威胁指标IoC

14592719e2a354633131bc238f07aa0cb9cce698

1611a8445085d1687c72b7e5a7c5602cbe580c8b

1f15195ddc1e4174674fbf5d1fc95ed0a7726f7b

2784a122089c20d5c02665da1241fe02f9ac90cc

2901d4ee7f289bf0b1a863bec716d751f66a4324

2d1d294aac29fab2041949d4cb5c58d3169a31d3

31176239ab5187af5d89666f37038340b95a5a4e

31d9ca734c5f4c1787131d3a1b6b91ca60e57794

331ec23c250b86d912fa34e0e700bfcac1a7c388

3453a96414e63a813b82c6d98fa3b76c1824abd8

36382165bb53a7ed9387a02e5b9baee36fe23f64

48c863e4ad23fb946386320f3a85391b54ba50ad

49602256c8d65d0620d5abe8011a78425c7ae177

54bdfa936c9eb4ea329ca35b95e471d51daef1d5

5821ff8eb9b23035a520e1fb836e43b1ec87ffaf

61abc90c20930c7615880ac9931778b48b9e6ebd

63b556a0afcf643337310254cc7f57c729188f36

65cd6a0371bdfffd7383907ba9a816e8e2e95da5

6c7a92d5d68b68ddba10af7ca6350cfb24b2595f

6d24c472b06e6f9ac3204ca768319d2b035a210a

8364c272e0c95ed214c71dbcb48f89c468544bc8

8df16857cb914f5eded0249cfde07f1c01697db1

a69f9f5f2ac15aec393ab68277ec268c0624fe91

b40f4f13b2b144946b165a2e4284c96fbc0d4682

b9dd4d230d103b3db458d752d4917466ec1cb9b0

ba55d92e3d7dba70205597433f1a98b35e4911b8

bb07341ab6b203687845ae38cd8c17dfc947e79f

c59dd90f7cefadaa80d9c0113f8af39e4ed0c1a1

c5adabbdbf641f3e53e3268af60ac1b26088aa6b

c6d850e264d7d8d6978cd85d69c22b29378e34e4

c7ed7241e2d21fa471b6bfd6b97b24b514b3c5f2

d216f33695421dfb17e69ed05aec46cf84b544b7

d59175ffacd8895362253a3bcb18637ced765fcd

d62cdd8f16a8f6b6cde5e8da633c224eab4765f2

e91f2d5df4ef43cb4c69b15de9a68c7ff2d4951d

fd65e6c5ae07c50c7d7639e2712c45324d4cf8de

相关域名:

ardp.hldns.ru

bpsuck.hldns.ru

Wpceservice.hldns.ru

systemservice.hldns.ru


本文由 重庆网络安全 整理发布,转载请保留出处,内容部分来自于互联网,如有侵权请联系我们删除。

相关热词搜索:Mirai僵尸网络 Go语言 加密货币挖矿 SSH爆破 路由器漏洞 重庆网络安全

上一篇:Stowaway:专为渗透测试人员设计的Go语言开发的多级代理工具。 可通过多个节点将外部流量代理到内部网络,并实现自定义管理功能。
下一篇:XposedOrNot:搜索xposed密码聚合存储库,用户可以使用此密码存储库来判断其帐户安全性。

热门资讯

鼠标向下滚动