<button id="ei02c"><ol id="ei02c"></ol></button>
            1. <div id="ei02c"></div>

                    1. 安基网 首页 资讯 安全报 查看内容

                      新型门罗币挖矿病毒PsMiner,利用高危漏洞大肆传播

                      2019-3-8 11:03| 投稿: xiaotiger |来自: 互联网


                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

                      摘要: 近期,360安全大脑拦截到一款Go语言编写的新型蠕虫病毒PsMiner,该病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多个高危漏洞和系统弱口令进行传播,利用漏洞入侵架设有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服务器的机器,入侵后利用受害 ...

                      近期,360安全大脑拦截到一款Go语言编写的新型蠕虫病毒PsMiner,该病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多个高危漏洞和系统弱口令进行传播,利用漏洞入侵架设有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服务器的机器,入侵后利用受害者机器挖取门罗币。

                      整体的病毒流程,如下图所示:

                      上图中涉及到的各病毒模块释义,请参考下表:

                      传播

                      systemctl.exe是PsMiner的传播模块,使用Go语言进行编写,集成ElasticSearch,Weblogic,Spring Data Commons,Hadoop,Redis,SqlServer,ThinkPHP等多种服务器的漏洞利用模块,相关利用模块的列表如下:

                      其中还包括暴力破解相关的利用模块,PsMiner会通过暴力破解的方式入侵受害者机器,相关模块如下:

                      利用wireshark抓包工具可以抓取到漏洞利用过程中的部分数据包:

                      在利用上述漏洞成功入侵用户机器后会利用cmd.exe执行如下powershell命令:

                      下载并执行后续的病毒模块,入侵后的病毒进程间关系,如下图所示:

                      WindowsUpdate.ps1是整个病毒的主控脚本,负责下载并执?#22411;?#30719;和蠕虫模块,并通过创建计划任务的方式实现系统驻留和自启动,相关代码逻辑,如下图所示:

                      创建名为"Update service for Windows Service"的计划任务,每隔10分钟执行一次WindowsUpdate.ps1,相关的计划任务,如下图:

                      systemctl.exe会在受害者机器上再次运行,进一步通过漏洞去传播PsMiner。

                      挖矿

                      PsMiner使用开源的挖矿工具Xmrig CPU Miner,利用受害者机器的算力挖取门罗币:

                      挖矿的配置文件,如下图所示:

                      查询相关的交易记录,我们发现在短短两周的时间内,该矿工累计获得约0.88个门罗币:

                      安全建议

                      1,PsMiner利用的各种高危漏洞,截至目前,相关厂商都已完成修复,建议受影响用户尽快升级相关的服务器组件。

                      2,系统弱口令是蠕虫病毒传播的另一途径,修改系统弱口令在一定程度上能提高系统安全性,防止蠕虫病毒的感?#23613;?/p>

                      3,360安全卫士已率先查杀此类木马,建议受感染的用户安?#23433;?#26432;。

                      MD5:

                      6c1ebd730486534cf013500fd40196de

                      976d294c4c782e97660861f9fd278183

                      0e0f75aec04a6efa17f54cf90f57927b



                      小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培?#21040;?#31243;免费学,让您少走弯路、事半功倍,好工作升职?#26377;劍?/font>

                      本文出自:https://www.toutiao.com/a6665532776105640462/

                      免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和?#35745;?#29256;权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


                      鲜花

                      ?#24080;?/a>

                      雷人

                      路过

                      鸡蛋

                      相关阅读

                      最新评论

                       最新
                      返回顶部
                      新疆11选5计算公式