<button id="ei02c"><ol id="ei02c"></ol></button>
            1. <div id="ei02c"></div>

                    1. 安基網 首頁 資訊 安全報 查看內容

                      新型門羅幣挖礦病毒PsMiner,利用高危漏洞大肆傳播

                      2019-3-8 11:03| 投稿: xiaotiger |來自: 互聯網


                      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!

                      摘要: 近期,360安全大腦攔截到一款Go語言編寫的新型蠕蟲病毒PsMiner,該病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多個高危漏洞和系統弱口令進行傳播,利用漏洞入侵架設有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服務器的機器,入侵后利用受害 ...

                      近期,360安全大腦攔截到一款Go語言編寫的新型蠕蟲病毒PsMiner,該病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多個高危漏洞和系統弱口令進行傳播,利用漏洞入侵架設有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服務器的機器,入侵后利用受害者機器挖取門羅幣。

                      整體的病毒流程,如下圖所示:

                      上圖中涉及到的各病毒模塊釋義,請參考下表:

                      傳播

                      systemctl.exe是PsMiner的傳播模塊,使用Go語言進行編寫,集成ElasticSearch,Weblogic,Spring Data Commons,Hadoop,Redis,SqlServer,ThinkPHP等多種服務器的漏洞利用模塊,相關利用模塊的列表如下:

                      其中還包括暴力破解相關的利用模塊,PsMiner會通過暴力破解的方式入侵受害者機器,相關模塊如下:

                      利用wireshark抓包工具可以抓取到漏洞利用過程中的部分數據包:

                      在利用上述漏洞成功入侵用戶機器后會利用cmd.exe執行如下powershell命令:

                      下載并執行后續的病毒模塊,入侵后的病毒進程間關系,如下圖所示:

                      WindowsUpdate.ps1是整個病毒的主控腳本,負責下載并執行挖礦和蠕蟲模塊,并通過創建計劃任務的方式實現系統駐留和自啟動,相關代碼邏輯,如下圖所示:

                      創建名為"Update service for Windows Service"的計劃任務,每隔10分鐘執行一次WindowsUpdate.ps1,相關的計劃任務,如下圖:

                      systemctl.exe會在受害者機器上再次運行,進一步通過漏洞去傳播PsMiner。

                      挖礦

                      PsMiner使用開源的挖礦工具Xmrig CPU Miner,利用受害者機器的算力挖取門羅幣:

                      挖礦的配置文件,如下圖所示:

                      查詢相關的交易記錄,我們發現在短短兩周的時間內,該礦工累計獲得約0.88個門羅幣:

                      安全建議

                      1,PsMiner利用的各種高危漏洞,截至目前,相關廠商都已完成修復,建議受影響用戶盡快升級相關的服務器組件。

                      2,系統弱口令是蠕蟲病毒傳播的另一途徑,修改系統弱口令在一定程度上能提高系統安全性,防止蠕蟲病毒的感染。

                      3,360安全衛士已率先查殺此類木馬,建議受感染的用戶安裝查殺。

                      MD5:

                      6c1ebd730486534cf013500fd40196de

                      976d294c4c782e97660861f9fd278183

                      0e0f75aec04a6efa17f54cf90f57927b



                      小編推薦:欲學習電腦技術、系統維護、網絡管理、編程開發和安全攻防等高端IT技術,請 點擊這里 注冊賬號,公開課頻道價值萬元IT培訓教程免費學,讓您少走彎路、事半功倍,好工作升職加薪!

                      本文出自:https://www.toutiao.com/a6665532776105640462/

                      免責聲明:本站系公益性非盈利IT技術普及網,本文由投稿者轉載自互聯網的公開文章,文末均已注明出處,其內容和圖片版權歸原網站或作者所有,文中所述不代表本站觀點,若有無意侵權或轉載不當之處請從網站右下角聯系我們處理,謝謝合作!


                      鮮花

                      握手

                      雷人

                      路過

                      雞蛋

                      相關閱讀

                      最新評論

                       最新
                      返回頂部
                      新疆11选5计算公式