安基网 首页 资讯 安全报 查看内容

挖矿木马WatchBog功能增强,配备BlueKeep漏洞扫描模块

2019-8-9 13:35| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 以色列网络安全公司Intezer在最近发表的一篇文章中指出,该公司已经发现了WatchBog挖矿木马的一个新版本,并推测自今年6月以来已经有超过4500台Linux主机遭到了感染。分析表明,新版本的WatchBog不仅能够利用多个新 ...
以色列网络安全公司Intezer在最近发表的一篇文章中指出,该公司已经发现了WatchBog挖矿木马的一个新版本,并推测自今年6月以来已经有超过4500台Linux主机遭到了感染。

分析表明,新版本的WatchBog不仅能够利用多个新披露的漏洞,而且还包含了一个BlueKeep漏洞扫描模块,这表明攻击者正在收集易受攻击的主机列表,以用于后续攻击或出售给第三方牟利。

值得注意的是,几乎所有VirusTotal上的杀毒软件都没有能够将WatchBog的这个新版本检测出来。

WatchBog简介

WatchBog首次被发现是在去年11月,它在当时通过利用已知的漏洞感染了大量的Linux主机,并以此建立了一个加密货币挖矿僵尸网络。

如上所述,Intezer发现了的这个新版本不仅能够利用多个新披露的漏洞(如CVE-2019-11581、CVE-2019-10149和CVE-2019-0192),同时还配备了一个BlueKeep漏洞扫描模块。

BlueKeep,也称为CVE-2019-0708,是一个Windows内核漏洞,允许攻击者在易受攻击的系统上实现远程代码执行。从Windows 2000到Windows Server 2008以及Windows 7,所有未打补丁的Windows版本均存在这个漏洞。

技术分析

与旧版本类似,新版本的WatchBog在感染目标主机后也会运行一个初始脚本。接下来,该脚本就会通过创建一个crontab计划任务来实现持久性,然后从Pastebin下载其他模块。

不同之处在于,攻击者对初始脚本的末尾部分进行了修改。

对于旧版本而言,从Pastebin下载的是一个门罗币挖矿模块。

但对于新版本而言,从Pastebin下载的不是一个挖矿模块,而是一个spreader模块。

乍一看,初始脚本下载的模块是一个ELF可执行文件,但它实际上是一个采用Cython编译的可执行文件。

进行反编译,你还会发现它实际上是一个Python模块。

初始化

一旦运行,这个可执行文件就会在/tmp/.gooobb下创建一个文件并将自己的PID进程标识符写进去。如果这个文件原本就已经存在,后续尝试启动spreader将失败。

然后,这个可执行文件就会从Pastebin检索其C2服务器:

不仅如此,在这个可执行文件中也硬编码了.onion洋葱网络C2服务器地址,以作备用。

正是根据对Pastebin链接访问次数的统计,Intezer公司估计截止到目前至少已经有4500台Linux主机遭到了感染。

与C2服务器建立通信后,这个可执行文件就会为受感染主机生成一个唯一密钥,并在此密钥下向C2服务器发送初始消息(包含了受感染主机的系统信息),进而下载最终的挖矿模块。

BlueKeep扫描模块

如上所述,新版本的WatchBog包含了一个BlueKeep漏洞扫描模块,能够找出存在BlueKeep漏洞的Windows主机。

通过使用从C2服务器获取的IP地址列表,BlueKeep漏洞扫描模块能够从中找出开启了RDP服务的服务器。

需要指出的是,RDP的默认Windows服务端口是TCP 3389,可以使用“Cookie: mstshash=”在数据包中轻松识别。

扫描结束之后,WatchBog客户端会返回一个易受攻击的IP地址列表。该列表经过RC4加密,以十六进制字符串编码:

能够利用多个新漏洞

如上所述,新版本的WatchBog能够利用多个新披露的漏洞,具体如下:

  • CVE-2019-11581(Jira)
  • CVE-2019-10149(Exim)
  • CVE-2019-0192(Solr)
  • CVE-2018-1000861(Jenkins)
  • CVE-2019-7238(Nexus Repository Manager 3)

无论是成功利用这些漏洞中的哪一个,攻击者都能够实现远程代码执行。

结论与安全建议

Intezer公司的研究表明,WatchBog挖矿木马仍在持续进化。Linux主机仍然是主要被攻击对象,而新增加的BlueKeep漏洞扫描模块也证明,攻击者似乎对Windows主机同样感兴趣。

因此,Windows用户似乎有必要考虑一下,为BlueKeep漏洞打上补丁。此外,正在Exim、Jira、Solr、Jenkins或Nexus Repository Manager 3的Linux用户似乎也有必要更新到最新版本。

最后,有怀疑自己的主机已经感染了WatchBog的Linux用户,可以检查一下 “/tmp/.tmplassstgggzzzqpppppp12233333”或“/tmp/.gooobb”文件是否存在。



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6721602317210092036/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人
1

路过

鸡蛋

刚表态过的朋友 (1 人)

相关阅读

最新评论

 最新
返回顶部