tyz虚拟货币
写在前面的话
Lucifer是一款Windows加密货币及DDoS恶意软件,就在三个月前,研究人员发布了一份报告并详细介绍了该恶意软件的活动。近期,我们发现该活动背后的攻击者原来早在2018年就开始了他们的网络攻击活动。
早期的Lucifer只是一个以Windows系统为目标的能够自我传播的挖矿软件,但现在它已经进化成了一个针对Linux和物联网设备的多平台多体系架构的恶意软件了。
从ThreatCloud收集的数据来看,美国、爱尔兰、荷兰、土耳其和印度境内的25个组织最近受到了攻击,而受攻击的组织来自于多个领域,包括制造业、法律、保险业以及银行业等等。
目前Lucifer针对物联网设备的攻击主要是通过利用漏洞CVE-2018-10561是实现的,主要目标就是未安装补丁的Dasan GPON路由器设备。
这款恶意软件具有多种功能,比如说执行多种类型的DDoS攻击,能够下载和执行文件的完整命令和控制操作,执行远程命令,使用Xmrig miner进行门罗币挖掘以及通过各种攻击技术在Windows系统中自我传播等等。
根据本文所呈现的技术细节来看,这款恶意软件还将会继续升级更新,并在将来引入更多的攻击功能以提升其盈利能力。
恶意活动分析
攻击一开始是由攻击者入侵的服务器来发起的,下图中显示的是一个多平台的针对Windows、Linux和物联网设备的感染链。图中的Windows设备在受感染之后会继续向内网以及外网设备传播恶意软件:
下面给出的是恶意软件中一些有趣的字符串序列:
在对这些字符串进行深入分析之后,我们还发现了一个名为BlaskSquid和一个名为Rudeminer/Spreadminer的攻击活动。
下图显示的是XMR钱包跟这三个活动之间的现金流关系,这也表明了这两个恶意活动跟Lucifer之间的关系:
我们所发现的BlackSquid样本使用了上图中的第一个钱包,而另一个样本则使用了另一个钱包。这两个样本使用的是相同的互斥模式:
BlacksquidXMRstratum+tcp://[Miner pool address]:[port]
第二个钱包在其他Lucifer样本中也有使用到,因此我们可以将这两款恶意软件联系起来。
除此之外,我们在对Spreadminer样本进行分析之后,发现它也使用了一个自定义的XMR矿池,并且绑定的是第一个钱包。
BlackSquid活动所使用的XMR钱包可以追溯到2018年底,这也可以表明攻击者的活动很可能开始得更早。
根据上述发现的信息,我们可以创建下列时间轴:
我们在该恶意软件的Linux变种中还发现了另一个有趣的字符串:
我们认为这个字符串跟一款名叫“Rude”的恶意软件有关,这也表明该活动背后的攻击者已经活跃超过一年半了,而且一直在升级和更新恶意软件代码库。
公开数据显示,Lucifer活动大约涉及到18.643456520496个门罗币,约合1769美元。
由于旧的XMR钱包已经被封,所以我们无法判断BlackSquid和Spreadminer活动所涉及到的金钱数额。而额外的DDoS攻击功能表明,攻击者还在寻求其他的恶意软件盈利方式。
Windows版本的自我传播功能主要依赖的是公开可利用的漏洞以及暴力破解技术。随着时间的推移,Windows版本的自我传播功能也进行了改进。
新活动的首个样本于2020年2月份被上传到了VirusTotal,而唯一一个ARM样本也在2020年5月10日上传到了VirusTotal:
这个样本并没有被检测为具有恶意性,这个ARM样本只具备DDoS功能,而且跟Linux样本的行为有很大区别,很可能是因为攻击者只是相对物联网设备进行攻击吧。
C2服务器有一个公开可访问的HFS服务器,可以帮助我们了解攻击活动的发展情况:
攻击活动一直都在不断进化并发布新的恶意软件,其中上传的“office.exe”和”sb360..exe”可执行文件是远程访问工具(RAT)gh0st的变种版本,说明攻击者仍然在扩展恶意软件的功能。
Linux、ARM和MIPS版本的恶意软件还没有删除掉调试符号,因此我们通过研究之后,我们将代码跟一款名为“Storm Attack Tool VIP 2009”的中文版DDoS软件联系起来,而这款软件是可以直接在很多中文开源网站中直接获取到的。
值得一提的是,新版本的恶意软件所执行的所有DDoS攻击都是通过这款软件实现的。
总结
正如我们在本文中介绍的,这个攻击活动目前仍在发展进化之中,以实现更多的传播和盈利方式。由于很多设备并不会进行及时更新,因此攻击者仍然可以使用已知的攻击来感染机器和实现自我传播,再加上弱密码的问题,导致暴力破解攻击将会变得非常轻松有效。
本文发稿时,最新版本恶意软件的平台架构和功能特性如下图所示:
入侵威胁指标IoC
C2:
122[.]112[.]179[.]189guyeyuyu[.]comqianduoduo[.]pwqf2020[.]toptyz2020[.]top
Linux样本:
53c2a0f3c3775111cbf8c09cd685e44a434bdd2d4dc0b9af18266083fb4b41e8 82934ed1f42986bdad8e78049e27fcb0b8e43a5b0b9332aa913b901c7344cbc6 ebcaed78aab7b691735bb33d5c33dd6dd447a0a538ff84d0d115c2b35831d43d d9f1878b029202195e0aeefb8406ea13d1ed57f8042636858dfd71f204ca0b05 7caf6f673d224effa207c3b3f9a0ce65eabe60230fbc70e52091f0e2f3c1f09c bcdadf4930abab3773df1c184fd2b6fa34b5cb8543177d76daf2b9f7c1f36c4f ECA3E0DE0A9FA7CAC75617C57839E7D62C53E4690483C08A849E624A2C79D8D9 49A8F1F9A771283771E5733EF05C3D525806318EEC7C82A049EE2B05B4259204
ARM样本:
3ea56bcf897cb8909869e1bfc35f47e1c8a454dd891c5396942c1255aa09b0ce
门罗币钱包:
44ygo7VfwEYdEbe1ruyZNLfrV19snk3REQpfb5LU9Yxf98z7Ws9EZPPbUgvozZyfYXCb3vsRJRT8wTGe3FipsLb93NaDULN 45sep79Asuwcjz8dLTu7XtJBTX7yYf7uo6qT9ymFBQXv8gjZsDPyd46Hoh6DM8pAXkLnsw9U7veZWU1DqMjKRoryAn3zEq1 43VqbHtuooiNC8rMEeoiB6LzUTyBfPaup3DxAUxRxmqo2fGRDGkyzx68ehdh43Zbn5LHwdFAcztskQW2bAoxMtm-NwJDi7R 4AfAd5hsdMWbuNyGbFJVZjcMLeKHvrXnT155DWh8qGkYRPbVGKBT9q1Z5gcFXqmwUuh2Kh6t2sTnHXPysYrGf2m-KqBwz9e 48S6vZmW26kCchf44dmbkQY87iVBZ9hkuVaRjyFniWVcS8gSUKjcgPUWFUp7z9WwVx7FkMP2iGUEFLpGQdTjip5U6NEBpA6
相关内容
相关资讯
-
ok数字货币(火币、币安、OKEx,三大交易所这一年都干了啥?)
李林突然在朋友圈公布消息,“火币日本,日本金融厅 007 号交易所牌照,系统经过审核,为日本用户提供完全合规的数字货币交易服务
-
中国股市具有投资价值(中国股市投资价值未来)
接下来以作为中国核心资产的代表贵州茅台为例,讲解实际案例中股票收益与业绩成长之间的联系:贵州茅台收益最好的一段里也有博弈的部分:2012年塑化剂事件 2013年三公消费的双重打压下,茅台的价格只有一百
-
虚拟币平台地球,虚拟币数据平台
绗竴鏋氱邯蹇靛竵鑳岄潰涓绘櫙鐢辨娊璞¤〃鐜扮殑鐪肩潧銆佸彾瀛愬拰鍦扮悆鍥炬缁勬垚锛屽唴缂樺彸渚у垔鈥滅幆澧冧繚鎶も€濆瓧鏍凤紝琛ㄨ揪浜嗕汉绫诲璧栦互鐢熷瓨鐨勮嚜鐒剁幆澧冪殑鍏虫敞銆傜浜屾灇绾
-
韩国第二大虚拟币交易平台?韩国有游戏币交易平台么在平台上卖游戏币犯法么
求韩国游戏币交易网站闊╁浗浜ゆ槗骞冲彴www.itemmania.comwww.itembay.com鍦ㄥ浗鍐呬笂闇€瑕佹寕浠g悊鎵嶈兘鎵撳紑娆х編浜ゆ槗骞冲彴http://www.svcn.com.
-
50etf在期货公司开户(50etf期权开户流程)
除了这种开户方式,不满足条件的投资人可以选择期权分仓开户,此方式需要具备一定的投资经验,最好提前做过期权模拟交易或者期货交易,期权是一种高风险投资品种,投资者需要根据自身条件理性选择
-
东方财富港美股市能做股指期货吗(东方财富港美股市能做股指期货吗安全吗)
br>涔板崠缇庡浗鑲$エ鐨勬墜缁垂锛屼笉浠モ€滀氦鏄撻噾棰濃€濈殑姣旂巼璁$畻锛岃€屼互鈥滀氦鏄撶瑪鏁扳€濅负鍩哄噯锛岃€屼笖鍥犲埜鍟嗙殑涓嶅悓鑰屾湁寮傘€備緥濡傦細鍦ㄧ煡鍚嶇綉缁滃埜鍟唀*trad
-
股指期货和期权哪个好做点 股指期货和期权哪个好做点呢
期权的投资技巧牵扯到比较复杂的套利模型,如果你按照一般的股票或期货纯看k线操作,有时候可以,有时候就不太合适,因为期权价格有时候会非理性的大,让人承受不住
实时快讯
-
2023-09-08汽车融资租赁公司模式(汽车融资租赁有限公司是干嘛的)
-
2023-09-08熏鹅肉怎么做好吃(熏鹅肉怎么做好吃家常做法)
-
2023-09-08融资租赁的产生(融资租赁产生的应收款项)
-
2023-09-08富春江环保热电股份有限公司(富春江环保热电搬迁)
-
2023-09-08郑商所 苹果 保险 期货(河南苹果期货保险)
-
2023-09-08珠海海洋乐园(珠海海洋乐园风景照片高清图)
-
2023-09-08李嘉诚投资方向(李嘉诚投资方向有哪些股票)
-
2023-09-08华为上海研究所(华为上海研究所招聘)