新型ibus蠕虫,利用漏洞疯狂挖矿牟利

2023-04-29 来源:飞速影视
摘要: 近日有安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。涉及的漏洞除了ThinkPHP远程命令执行漏洞,还有JBoss、Weblogic、Redis等产品的漏洞。因为该蠕虫最初植入的恶意脚本名为ibus,所以命名为ibus蠕虫。
一、背景
近日有安全团队发现了一起利用多个流行漏洞传播的蠕虫事件。黑客首先利用ThinkPHP远程命令执行等多个热门漏洞控制大量主机,并将其中一台“肉鸡”作为蠕虫脚本的下载源。其余受控主机下载并运行此蠕虫脚本后,继续进行大规模漏洞扫描和弱口令爆破攻击,从而实现横向传播。涉及的漏洞除了ThinkPHP远程命令执行漏洞,还有JBoss、Weblogic、Redis等产品的漏洞。因为该蠕虫最初植入的恶意脚本名为ibus,所以命名为ibus蠕虫。
二、蠕虫主要特点及结构
该黑客通过ThinkPHP漏洞和蠕虫脚本获取了大量的肉鸡进行牟利。该安全团队详细分析了此蠕虫的主要特点,包括:
使用多种漏洞进行传播,以web代码执行漏洞为主;
恶意脚本的名字及路径具有迷惑性,且多份拷贝存放于不同的目录下;
主要代码perl实现,具备功能完备的C&C通信模块;
C&C通信使用http协议,通信内容加密;
通过挖掘门罗币进行获利。
蠕虫的功能结构由恶意脚本、传播模块、C&C模块、挖矿模块等组成。
黑客首先利用ThinkPHP v5 远程命令执行漏洞攻击了大量主机,并将ip为67.209.177.163的服务器作为蠕虫脚本的下载源。
之后攻击者控制其他被入侵主机从67.209.177.163下载ibus脚本并执行。该脚本用perl语言写成,主要功能是解码、写入并执行C&C (Command and Control)模块。
攻击者进而通过向C&C模块发送命令,下载包含多种攻击payload的传播模块,以及由下载器、配置文件和挖矿程序组成的挖矿模块,挖矿从而获取利润。传播模块则继续攻击未被入侵主机,横向传播。
黑客入侵的各个阶段如下图所示:

新型ibus蠕虫,利用漏洞疯狂挖矿牟利


相关影视
合作伙伴
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)

www.fs94.org-飞速影视 粤ICP备74369512号