安基网 首页 资讯 安全报 查看内容

广西快3开奖走势图:新型门罗币挖矿病毒PsMiner,利用高危漏洞大肆传播

好运彩 www.q8s6b.cn 2019-3-8 11:03| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: 近期,360安全大脑拦截到一款Go语言编写的新型蠕虫病毒PsMiner,该病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多个高危漏洞和系统弱口令进行传播,利用漏洞入侵架设有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服务器的机器,入侵后利用受害 ...

近期,360安全大脑拦截到一款Go语言编写的新型蠕虫病毒PsMiner,该病毒利用CVE-2018-1273,CVE-2017-10271,CVE-2015-1427,CVE-2014-3120等多个高危漏洞和系统弱口令进行传播,利用漏洞入侵架设有ElasticSearch,Hadoop,Redis,Spring,Weblogic,ThinkPHP和SqlServer等服务器的机器,入侵后利用受害者机器挖取门罗币。

整体的病毒流程,如下图所示:

上图中涉及到的各病毒??槭鸵?,请参考下表:

传播

systemctl.exe是PsMiner的传播???,使用Go语言进行编写,集成ElasticSearch,Weblogic,Spring Data Commons,Hadoop,Redis,SqlServer,ThinkPHP等多种服务器的漏洞利用???,相关利用??榈牧斜砣缦拢?/p>

其中还包括暴力破解相关的利用???,PsMiner会通过暴力破解的方式入侵受害者机器,相关??槿缦拢?/p>

利用wireshark抓包工具可以抓取到漏洞利用过程中的部分数据包:

在利用上述漏洞成功入侵用户机器后会利用cmd.exe执行如下powershell命令:

下载并执行后续的病毒???,入侵后的病毒进程间关系,如下图所示:

WindowsUpdate.ps1是整个病毒的主控脚本,负责下载并执行挖矿和蠕虫???,并通过创建计划任务的方式实现系统驻留和自启动,相关代码逻辑,如下图所示:

创建名为"Update service for Windows Service"的计划任务,每隔10分钟执行一次WindowsUpdate.ps1,相关的计划任务,如下图:

systemctl.exe会在受害者机器上再次运行,进一步通过漏洞去传播PsMiner。

挖矿

PsMiner使用开源的挖矿工具Xmrig CPU Miner,利用受害者机器的算力挖取门罗币:

挖矿的配置文件,如下图所示:

查询相关的交易记录,我们发现在短短两周的时间内,该矿工累计获得约0.88个门罗币:

安全建议

1,PsMiner利用的各种高危漏洞,截至目前,相关厂商都已完成修复,建议受影响用户尽快升级相关的服务器组件。

2,系统弱口令是蠕虫病毒传播的另一途径,修改系统弱口令在一定程度上能提高系统安全性,防止蠕虫病毒的感染。

3,360安全卫士已率先查杀此类木马,建议受感染的用户安装查杀。

MD5:

6c1ebd730486534cf013500fd40196de

976d294c4c782e97660861f9fd278183

0e0f75aec04a6efa17f54cf90f57927b



小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6665532776105640462/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

相关阅读

最新评论

 最新
返回顶部
213| 350| 610| 513| 610| 440| 439| 106| 279| 240|