帮闲电子商务_绿兔子源码_破解软件_网站源码_原创软件_游戏影视娱乐 - LVTZ.COM

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 10341|回复: 4

Rudeminer&Blacksquid&Lucifer恶意软件分析

  [复制链接]

该用户从未签到

248

主题

666

帖子

2104

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
1438
注册时间
2020-2-9
在线时间
0 小时
发表于 2020-10-30 15:32:03 | 显示全部楼层 |阅读模式

写在前面的话Lucifer是一款Windows加密货币及DDoS恶意软件,就在三个月前,研究人员发布了一份报告并详细介绍了该恶意软件的活动。近期,我们发现该活动背后的攻击者原来早在2018年就开始了他们的网络攻击活动。
早期的Lucifer只是一个以Windows系统为目标的能够自我传播的挖矿软件,但现在它已经进化成了一个针对Linux和物联网设备的多平台多体系架构的恶意软件了。
从ThreatCloud收集的数据来看,美国、爱尔兰、荷兰、土耳其和印度境内的25个组织最近受到了攻击,而受攻击的组织来自于多个领域,包括制造业、法律、保险业以及银行业等等。
目前Lucifer针对物联网设备的攻击主要是通过利用漏洞CVE-2018-10561实现的,主要目标就是未安装补丁的Dasan GPON路由器设备。
这款恶意软件具有多种功能,比如说执行多种类型的DDoS攻击,能够下载和执行文件的完整命令和控制操作,执行远程命令,使用Xmrig miner进行门罗币挖掘以及通过各种攻击技术在Windows系统中自我传播等等。
根据本文所呈现的技术细节来看,这款恶意软件还将会继续升级更新,并在将来引入更多的攻击功能以提升其盈利能力。
恶意活动分析攻击一开始是由攻击者入侵的服务器来发起的,下图中显示的是一个多平台的针对Windows、Linux和物联网设备的感染链。图中的Windows设备在受感染之后会继续向内网以及外网设备传播恶意软件:

下面给出的是恶意软件中一些有趣的字符串序列:

在对这些字符串进行深入分析之后,我们还发现了一个名为BlaskSquid和一个名为Rudeminer/Spreadminer的攻击活动。
下图显示的是XMR钱包跟这三个活动之间的现金流关系,这也表明了这两个恶意活动跟Lucifer之间的关系:

我们所发现的BlackSquid样本使用了上图中的第一个钱包,而另一个样本则使用了另一个钱包。这两个样本使用的是相同的互斥模式:
BlacksquidXMRstratum+tcp://[Miner pool address]:[port]第二个钱包在其他Lucifer样本中也有使用到,因此我们可以将这两款恶意软件联系起来。
除此之外,我们在对Spreadminer样本进行分析之后,发现它也使用了一个自定义的XMR矿池,并且绑定的是第一个钱包。
BlackSquid活动所使用的XMR钱包可以追溯到2018年底,这也可以表明攻击者的活动很可能开始得更早。
根据上述发现的信息,我们可以创建下列时间轴:

我们在该恶意软件的Linux变种中还发现了另一个有趣的字符串:

我们认为这个字符串跟一款名叫“Rude”的恶意软件有关,这也表明该活动背后的攻击者已经活跃超过一年半了,而且一直在升级和更新恶意软件代码库。
公开数据显示,Lucifer活动大约涉及到18.643456520496个门罗币,约合1769美元。
由于旧的XMR钱包已经被封,所以我们无法判断BlackSquid和Spreadminer活动所涉及到的金钱数额。而额外的DDoS攻击功能表明,攻击者还在寻求其他的恶意软件盈利方式。
Windows版本的自我传播功能主要依赖的是公开可利用的漏洞以及暴力破解技术。随着时间的推移,Windows版本的自我传播功能也进行了改进。
新活动的首个样本于2020年2月份被上传到了VirusTotal,而唯一一个ARM样本也在2020年5月10日上传到了VirusTotal:

这个样本并没有被检测为具有恶意性,这个ARM样本只具备DDoS功能,而且跟Linux样本的行为有很大区别,很可能是因为攻击者只是相对物联网设备进行攻击吧。
C2服务器有一个公开可访问的HFS服务器,可以帮助我们了解攻击活动的发展情况:

攻击活动一直都在不断进化并发布新的恶意软件,其中上传的“office.exe”和”sb360..exe”可执行文件是远程访问工具(RAT)gh0st的变种版本,说明攻击者仍然在扩展恶意软件的功能。
Linux、ARM和MIPS版本的恶意软件还没有删除掉调试符号,因此我们通过研究之后,我们将代码跟一款名为“Storm Attack Tool VIP 2009”的中文版DDoS软件联系起来,而这款软件是可以直接在很多中文开源网站中直接获取到的。

值得一提的是,新版本的恶意软件所执行的所有DDoS攻击都是通过这款软件实现的。
总结正如我们在本文中介绍的,这个攻击活动目前仍在发展进化之中,以实现更多的传播和盈利方式。由于很多设备并不会进行及时更新,因此攻击者仍然可以使用已知的攻击来感染机器和实现自我传播,再加上弱密码的问题,导致暴力破解攻击将会变得非常轻松有效。
本文发稿时,最新版本恶意软件的平台架构和功能特性如下图所示:

入侵威胁指标IoCC2:

122[.]112[.]179[.]189guyeyuyu[.]comqianduoduo[.]pwqf2020[.]toptyz2020[.]topLinux样本:

53c2a0f3c3775111cbf8c09cd685e44a434bdd2d4dc0b9af18266083fb4b41e882934ed1f42986bdad8e78049e27fcb0b8e43a5b0b9332aa913b901c7344cbc6 ebcaed78aab7b691735bb33d5c33dd6dd447a0a538ff84d0d115c2b35831d43d d9f1878b029202195e0aeefb8406ea13d1ed57f8042636858dfd71f204ca0b05 7caf6f673d224effa207c3b3f9a0ce65eabe60230fbc70e52091f0e2f3c1f09c bcdadf4930abab3773df1c184fd2b6fa34b5cb8543177d76daf2b9f7c1f36c4f ECA3E0DE0A9FA7CAC75617C57839E7D62C53E4690483C08A849E624A2C79D8D9 49A8F1F9A771283771E5733EF05C3D525806318EEC7C82A049EE2B05B4259204ARM样本:

门罗币钱包:

44ygo7VfwEYdEbe1ruyZNLfrV19snk3REQpfb5LU9Yxf98z7Ws9EZPPbUgvozZyfYXCb3vsRJRT8wTGe3FipsLb93NaDULN45sep79Asuwcjz8dLTu7XtJBTX7yYf7uo6qT9ymFBQXv8gjZsDPyd46Hoh6DM8pAXkLnsw9U7veZWU1DqMjKRoryAn3zEq1 43VqbHtuooiNC8rMEeoiB6LzUTyBfPaup3DxAUxRxmqo2fGRDGkyzx68ehdh43Zbn5LHwdFAcztskQW2bAoxMtm-NwJDi7R 4AfAd5hsdMWbuNyGbFJVZjcMLeKHvrXnT155DWh8qGkYRPbVGKBT9q1Z5gcFXqmwUuh2Kh6t2sTnHXPysYrGf2m-KqBwz9e 48S6vZmW26kCchf44dmbkQY87iVBZ9hkuVaRjyFniWVcS8gSUKjcgPUWFUp7z9WwVx7FkMP2iGUEFLpGQdTjip5U6NEBpA6
回复

使用道具 举报

该用户从未签到

250

主题

650

帖子

2020

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
1370
注册时间
2020-2-9
在线时间
0 小时
发表于 2020-10-30 16:46:35 | 显示全部楼层
梦想不能实现,都是因为它不够现实。
回复

使用道具 举报

该用户从未签到

0

主题

403

帖子

1294

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
891
注册时间
2020-2-9
在线时间
0 小时
发表于 2020-10-31 14:47:34 | 显示全部楼层
专业抢沙发的!哈哈
回复

使用道具 举报

该用户从未签到

237

主题

649

帖子

2005

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
1356
注册时间
2020-2-9
在线时间
0 小时
发表于 2020-11-1 08:04:34 | 显示全部楼层
为保住菊花,这个一定得回复!
回复

使用道具 举报

该用户从未签到

0

主题

365

帖子

1173

积分

超凡大师

Rank: 6Rank: 6

精华
0
威望
0
听众
0
萝卜
808
注册时间
2020-2-9
在线时间
0 小时
发表于 2020-11-4 14:45:52 | 显示全部楼层
不错,顶一个!
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|帮闲电子商务LVTZ.COM |冀公网安备(冀ICP备17031353号-2)

GMT+8, 2024-12-26 02:13 , Processed in 0.103768 second(s), 28 queries .

Powered by Discuz! X3.4

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表