永恒之蓝下载器使用DGA域名进行攻击,多个漏洞攻击内网挖矿
2023-04-30 来源:飞速影视
一、背景
近期腾讯安全御见威胁情报中心检测到“永恒之蓝下载器木马”使用DGA(随机生成)域名进行攻击。黑客入侵系统后,通过安装计划任务修改hosts文件,将生成的DGA(随机生成)域名映射到其控制的服务器IP地址,随后利用该域名进行恶意代码下载和执行。病毒的这一行为将会对仅根据恶意域名进行检测的网络防御系统造成新的威胁。
二、篡改HOSTS指向随机域名
域名生成算法为-join([char[]](Get-Random -Count (6 (Get-Random)%6)(65..90 97..122))), ASCII编码65到90是大写字符A到Z,97到122是小写字母a到z。Count为取的字符个数,Conut值由6 (0~5)(随机数除以6取余),也就是取6~11个随机大小写字母组合 .com作为DGA(随机生成)域名。
生成的DGA域名示例如下:
然后依次查询病毒此前注册的域名t.awcna.com,t.tr2q.com,t.amxny.com所解析到的IP地址,并通过修改本地hosts文件将生成的DGA域名映射到这些IP地址,并将该行为安装为计划任务Rtsa1。木马访问DGA域名时通过访问本地hosts文件获取IP地址,无需进行DNS解析,也就是说攻击者不需要进行域名注册。
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)
www.fs94.org-飞速影视 粤ICP备74369512号