安全路透社
当前位置:安全路透社 > 安全客 > 正文

【木马分析】悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币

http://p1.qhimg.com/t01273428a584fea3db.jpg

第一部分 背景


360互联网安全中心监测到一种利用被入侵服务器进行门罗币挖矿的僵尸网络,该僵尸网络控制的服务器数量高峰时单日达到两万多台。僵尸网络建立初期利用“永恒之蓝”漏洞攻击武器入侵一定数量的计算机并以此作为僵尸网络发展的基础,之后这些计算机扫描其他计算机的1433端口(msSQL服务端口),尝试爆破目标计算机的msSQL服务,一旦爆破成功则登陆SQL Server执行恶意代码。目标计算机被僵尸网络控制之后同样会通过1433端口入侵其他计算机,僵尸网络因此不断扩大控制范围,最终形成现在这样的规模。

僵尸网络的蔓延离不开强大的Bot程序,通过代码同源性可以发现该家族的Bot程序的诞生最早可追溯到2014年。在2014年到2017年之间, Bot程序进行多次版本更新,最早的版本只是简单的入侵与远程控制,从2017年4月的版本开始, Bot程序借鉴多款扫描器、爆破工具以及著名僵尸网络mirai的实现,添加了多种针对不同协议的扫描爆破模块,并且实现了一套针对msSQL的“入侵+利用+传播”的攻击模块。Bot程序版本更替及传播量如下图所示。(图示中xx.x.x.x.x(x)表示的是Bot程序的版本,例如17.1.0.0.2(1)表示2017年编译的1.0.0.2版本的Bot程序变种1)

图2-2-2 调用Sleep函数以定期执行update模块

进行更新检查时,update模块首先获取程序当前的版本号,之后通过博客地址“http://blog.sina.com.cn/s/blog_16fb721c50102x6hw.html”获得加密后的C&C的ip地址。将加密后的ip地址去除首尾的分隔符(***和@@@),经过base64解密并与0x36异或之后得到真实的ip地址(在本样本中,C&C ip地址为67.229.144.218,以下简称为“ip”)。

图2-6-5 Bot程序与其他组件关系图


第三部分 防御总结


从僵尸网络当前的攻击重点来看,防范其通过1433端口入侵计算机是非常有必要的。此外,Bot程序还有多种攻击方式尚未使用,这些攻击方式可能在未来的某一天被开启,因此也需要防范可能发生的攻击。对此,我们总结以下几个防御策略:

1.对于未遭到入侵的服务器,注意msSQL,RDP,Telnet等服务的弱口令问题。如果这些服务设置了弱口令,需要尽快修改;

2.对于无需使用的服务不要随意开放,开放的服务是黑客入侵的前提。对于必须使用的服务,注意相关服务的弱口令问题;

3.特别注意445端口的开放情况。由于黑客曾经使用永恒之蓝漏洞入侵计算机,不排除黑客故技重施。及时打上补丁更新操作系统是非常有必要的。

4.关注服务器运行状况,注意CPU占用率和进程列表和网络流量情况可以及时发现系统存在的异常。此外,注意系统账户情况,禁用不必要的账户。

5.对于网络摄像头持有者,建议修改默认密码以防止黑客直接使用默认密码爆破。

该僵尸网络现今主要依靠端口扫描和弱口令爆破进行传播,但其在“永恒之蓝”漏洞攻击武器出现之初就利用该武器入侵了一定数量的计算机,可见其对于最新曝光的漏洞利用以及攻击方法的掌握十分迅速,因此需时刻警惕其可能发起的重大攻击。


附录


1. 相关文件MD5

MD5

042ac6f93597e80112a1c42fdb79e3df
42c0b80fe0a28401f2b64a522f1dea84
d7378a709dc4deb1a034676c43de503a
ad0496f544762a95af11f9314e434e94
5707f1e71da33a1ab9fe2796dbe3fc74
5af3bab901735575d5d0958921174b17
6a936ad69c708f3ac70da2f76b8b619e
fe04395c95cdd102aeabbf6b915c1a5e
f068b7be8685c91bddbb186f6fad7962
10ace2e06cc8b5656d38eb2e6ed4f079
a38a1e11f7222f7c48aaf33e20c78f48
6b13994f83dad0d45764911a88564a7b
f249446c28ab983c395ca4e198db3528
7b7b1c2a2201aebf22aaf8fe7901c0e9
ca748d5eac754e0b0026474ae7a51f3f
e81e96be9d90a1a1a0871196d0374c26
75f6543447b4726c56d183951526b379
98d615c222293ca937ab4b1b4a7c8118
c3a5859a5d438ff3f62d81ec3894d9ca

2. 相关ip地址和域名

ip地址、域名

67.229.144.218
13.59.110.123
209.58.186.145
www.cyg2016.xyz
js.mys2016.info
down.mys2016.info
ftp.oo000oo.me
wmi.oo000oo.club
down.oo000oo.club
js.f4321y.com
up.f4321y.com
wmi.mykings.top
js.mykings.pw
xmr.5b6b7b.ru
js.5b6b7b.ru
64.myxmr.pw

3. 密码字典

MySQL

root
root root
root 123
root 123456
phpmind phpmind
root admin123
root password
root root123
root 123456*a
mysqld 654321*a

msSQL

sa
sa sa
sa 123
sa 123456
sa password
sa 525464
sa shabixuege!@#
vice vice
sa 3xqan7,n`~!@ ~#$%^&*(),.;
sa 4xqan7,m`~!@ ~#$%^&*(),.;
mssqla 4xqan7,n`~!@ ~#$%^&*(),.;
mssqla 4xqan7,m`~!@ ~#$%^&*(),.;
mssqla 3xqan7,mm`~!@ ~#$%^&*(),.;
mssqla 3xqan7,m`~!@ ~#$%^&*(),.;
mssqla 3xqan7,n`~!@ ~#$%^&*(),.;
mssqla 4xqan7,mm`~!@ ~#$%^&*(),.;
sa 4xqbn7,m`~!@ ~#$%^&*(),.;
mssqla 4xqbn7,mm`~!@ ~#$%^&*(),.;
sa 4yqbn7,m`~!@ ~#$%^&*(),.;
mssqla 4yqbn7,mm`~!@ ~#$%^&*(),.;
sa 4yqbm7,m`~!@ ~#$%^&*(),.;
mssqla 4yqbm7,mm`~!@ ~#$%^&*(),.;
kisadmin ypbwkfyjhyhgzj
hbv7 zXJl@mwZ
bwsa bw99588399
ps 740316
uep U_tywg_2008
sa sa123
sa sasa
sa 12345
sa sunshine
sa trustno1
sa 111111
sa iloveyou
sa sql2005
sa DiscoJack
sa 1
401hk 401hk!@#
sa admin@123
sa sa2008
sa 123123
sa 1111
sa 1234
sa 12345678
sa 1234567890
sa passw0wd
sa abc
sa abc123
sa abcdefg
sysdba masterkey
sa bing_1433 xing
sa ^_^$$wanniMaBI:: 1433 vl
sa sapassword
sa linwen5555
su vice_1433 vice
sa Aa123456
sa ABCabc123
sa sqlpassword
sa 1qaz2wsx
sa 1qaz!QAZ
sa sql2008

Telnet

!!Huawei @HuaweiHgw
system ping ;sh
root 1001chin
root xc3511
root vizxv
admin admin
5up 5up
root
root jvbzd
root root
root 123
root hg2x0
root 123456
admin admin1234
root admin
superadmin Is$uper@dmin
admin
support support
admin 123456
1234 1234
Admin Admin
admin ho4uku6at
admin 123
admin 1234567
admin 12345
root 12345
admin root
e8telnet e8telnet
telecomadmin nE7jA%5m
e8ehomeasb e8ehomeasb
telnetadmin telnetadmin
e8ehome e8ehome
Zte521 Zte521
root Zte521
user password
admin password
root password
user user
root 888888
root grouter
root 666666
guest 12345
admin ZmqVfoSIP
admin 888888
admin guest
admin 666666
Admin 111111
admin oelinux123
Administrator meinsm
adminlvjh adminlvjh123
default antslq
root telnet
guest admin
netgear netgear
realtek realtek
root 88888888
service service
root cat1029
system system
root oelinux123
root tl789
telnet telnet
root GM8182
user qweasdzx
root hunt5759
root rootpassword
zte zte
root cisco
root telecomadmin
root 12345678
root default
huawei admin@huawei.com
root solokey
root twe8ehome
dvr dvr
supervisor supervisor
root 1234567890
root 0123456789
root rootroot
Manager manager
admin admin888
useradmin useradmin
ubnt ubnt
root dvr
cusadmin highspeed
cisco cisco
admin smcadmin
h3c h3c
admin benq1234
admin 12345678
root PASSWD
root passwd
ROOT PASSWD
huawei huawei
root h3c
root nmgx_wapia
toor toor
Huawei Huawei
admin private
root private

ssh

root
root root
root 123
root 123456
root i826y3tz
root password
ubnt ubnt
ubnt admin
root gwevrk7f@qwSX$fd

wmi

administrator

RDP

administrator 123
administrator 123456
administrator
administrator 1234
administrator 12345
administrator 5201314
administrator 1qaz2wsx
administrator Aa123456
administrator qwe123!@#
administrator qwe!@#
administrator 123qweqwe
administrator 654321
administrator admin
administrator 0
administrator password
administrator 123123
piress adminlv123
administrator p@ssw0rd
administrator 112233
administrator !@#123
administrator 1qaz2wsx3edc
administrator !@#qwe
administrator zxcvbnm
administrator login
administrator admin123
administrator 3389
administrator pass


本文地址:http://bobao.360.cn/learning/detail/4351.html

未经允许不得转载:安全路透社 » 【木马分析】悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币

赞 (0)
分享到:更多 ()

评论 0

评论前必须登录!

登陆 注册