亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Glupteba惡意軟件變種實例分析

發布時間:2022-01-17 10:54:09 來源:億速云 閱讀:136 作者:柒染 欄目:網絡安全

這篇文章將為大家詳細講解有關Glupteba惡意軟件變種實例分析,文章內容質量較高,因此小編分享給大家做個參考,希望大家閱讀完這篇文章后對相關知識有一定的了解。

最近發現了惡意軟件glupteba的網絡攻擊行為。它是一個舊的惡意軟件,曾在名為“windigo”的行動中出現過,并通過漏洞傳播給windows用戶。

2018年,一家安全公司報告說,glupteba已經獨立于windigo行動,并轉向按安裝付費的廣告軟件服務。Glupteba活動目的各不相同:提供代理服務,利用漏洞進行挖礦活動等。

在研究了近期發現的glupteba變體之后,我們發現glupteba惡意軟件之外的兩個未經記錄的組件:    

1、瀏覽器竊取程序,它可以從瀏覽器中竊取敏感數據,例如瀏覽歷史記錄、網站cookies、帳戶名和密碼,并將信息發送到遠程服務器

2、利用CVE-2018-14847漏洞攻擊本地網絡中Mikrotik路由器。它將被盜的管理員憑據上傳到服務器。路由器將被作為代理中繼使用。        

此外,我們在Glupteba中發現他可以從比特幣交易中檢索最新的C&C域名。我們將在下一節中進一步解釋此功能。攻擊者仍在改進他們的惡意軟件,并試圖將他們的代理網絡擴展到物聯網設備。    

Glupteba惡意軟件變種實例分析Glupteba惡意軟件變種實例分析

Glupteba下載分析    

下載的二進制文件由一個自定義打包程序打包,用go編程語言編寫,并編譯為可執行文件。首先通過獲取當前應用程序信息、操作信息、硬件信息以及一些二進制硬編碼的信息來初始化配置信息。它創建注冊表項hkey_users\<sid>\software\microsoft\testapp以存儲所有獲取的信息。運行初始化函數的結果如下圖所示。    

Glupteba惡意軟件變種實例分析sendparentprocesss函數從注冊表中獲取machine_guid,并從文件名、pid和父進程的名稱中獲取分發服務器id和活動id。它將信息嵌入post請求中,使用aes密碼對其進行加密,并上傳到c&c服務器。    

之后檢查進程是否被提升并作為系統用戶運行。如果進程沒有提升,它將嘗試利用fodhelper方法來提升權限。如果它不是作為系統用戶運行,那么它將使用“作為受信任的安裝程序運行”方式啟動。

有以下主要命令:    
Glupteba惡意軟件變種實例分析

函數mainstall檢查已安裝的防病毒程序,添加防火墻規則,并添加Defender排除項。

函數mainpoll定期輪詢c&c服務器獲取新命令。post參數如下所示(aes加密前):    

challenge=e94e354daf5f48ca&cloudnet_file=1&cloudnet_process=1&lcommand=0&mrt=1&pgdse=0&sb=1&sc=0&uuid=&version=145&wup_process=1&wupv=0.

最后,函數handlecommand實現后門功能。    

Glupteba惡意軟件變種實例分析Glupteba惡意軟件變種實例分析

C&C更新能力

后門有大部分標準功能,該惡意軟件可以通過discoverdomain功能通過區塊鏈更新其c&c服務器地址。    

discoverdomain函數可以通過發送后門命令運行,也可以由自動運行。discoverdomain首先使用公開列表枚舉electrum比特幣錢包服務器,然后嘗試使用硬編碼哈希查詢歷史記錄。    

Glupteba惡意軟件變種實例分析

瀏覽器竊取信息組件

glupteba變體中發現組件稱為“updateprofile”,它是一個瀏覽器配置文件、cookies和密碼提取程序。cookies、history和其他配置文件被壓縮并上傳到信息收集服務器。此組件也用go編寫,編譯為可執行的,并用upx打包。

瀏覽器竊取程序的另一個版本稱為“vc.exe”。它的目標是提取瀏覽器密碼和cookies,并將提取的數據發送到信息收集服務器。    

路由器攻擊組件

我們發現的另一個組件是路由器攻擊組件,它也是用go語言開發的。它可以查看受害者網絡的默認網關并通過調用wmi命令“select defaultipgateway from win32_networkadapterconfiguration where ipenabled=true”獲得默認ip網關的列表。

除了這些地址,還添加了以下三個默認地址:192.168.88.11、192.168.0.1、192.168.1.1。    

一旦組件成功連接到監聽端口8291的設備,它就會試圖利用CVE-2018-14847漏洞攻擊該設備,該漏洞會影響Mikrotik路由器上使用的Routeros系統。它允許攻擊者從未修補的路由器獲取管理員憑據。獲取的帳戶名和密碼存儲在json對象中,經過加密,并發送到c&c服務器。    

成功獲取憑據后,將向路由器的計劃程序添加任務。添加調度器任務有三種實現方法:使用winbox協議、使用ssh或使用api。    

Glupteba惡意軟件變種實例分析

路由器流量中繼

在上述設置之后,路由器成為攻擊者中繼流量的SOCKS代理。通過socks代理路由的第一個遠程連接來自服務器,該服務器可能屬于攻擊者。此服務器查詢返回當前SOCKS代理服務器的IP地址。此查詢被重復發送,可能是為了監視SOCKS代理服務。    

在第一次檢查路由器狀態之后,有兩種類型的流量連接到代理的不同服務器。第一個是垃圾郵件流量。遠程服務器通過路由器的socks代理連接到不同郵件服務器的smtp。如果郵件服務器接受了連接,則該遠程服務器將開始發送垃圾郵件。    

Glupteba惡意軟件變種實例分析除了垃圾郵件流量,還有一組遠程服務器的其他流量,這些服務器反復連接到instagram。但是發送的流量受https加密保護,不清楚這些連接到底是用來做什么的。有可能是針對instagram的密碼重用攻擊。    

Glupteba惡意軟件變種實例分析

安全建議

惡意軟件是一種廣泛存在的威脅,會影響用戶和企業。從網關、端點、網絡和服務器,多層的安全方法非常重要。

在設置路由器時,安全性應該是首要考慮的問題,因為大多數家庭和辦公室的設備都連接到這些設備上。用戶和企業可以采用良好的安全措施來抵御威脅。此外,部署相關工具為家庭網絡和與其連接的設備提供額外的安全性,進一步加強防御。

關于Glupteba惡意軟件變種實例分析就分享到這里了,希望以上內容可以對大家有一定的幫助,可以學到更多知識。如果覺得文章不錯,可以把它分享出去讓更多的人看到。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

太谷县| 阿拉尔市| 蓬安县| 宁海县| 唐河县| 开阳县| 延安市| 通州区| 麻栗坡县| 蓬安县| 微山县| 吉林市| 漾濞| 大英县| 普兰店市| 泊头市| 上思县| 江源县| 加查县| 文化| 文成县| 陆丰市| 珠海市| 茶陵县| 江山市| 南宫市| 苗栗市| 高要市| 沭阳县| 岚皋县| 会同县| 梅河口市| 启东市| 安塞县| 来安县| 巨鹿县| 黄石市| 保德县| 林州市| 巴彦淖尔市| 石家庄市|