您当前的位置:首页 > 电脑百科 > 安全防护 > 资讯

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

时间:2020-07-09 15:26:56  来源:  作者:

近期,深信服安全团队捕获到DDG挖矿木马最新变种v5028,和之前的变种v5023相比,新版本的DDG挖矿木马更新了C&C地址及挖矿地址,同时弃用了传统的i.sh驻留方式。

经深信服安全云脑数据统计,该木马在短短一个月时间已有大量拦截数据,且每日攻击次数还呈递增的趋势。

威胁数据

根据云脑数据显示,截止2020年6月20号,全网已监测到近大量来自DDG v5028变种的流量攻击。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

攻击数据拦截地区的分布大致如下,其中天津和北京的拦截数据量最大。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

一、版本简介

自2020年开始,DDG已开始启用v5版本号,从以往的Memberlist开源P2P通信方式改为了自研的P2P通信方式。

在v5023中有较大更新,木马会在/var/lib/或/usr/local/下生成随机名目录,用于存放P2P通信中获取到的文件及数据,以及新增jobs配置文件来进行一些较高级的清除异己操作。

本次v5028的更新在于弃用了i.sh的驻留方式。

二、木马分析

中毒后的主机现象如下,存在一个挖矿进程playstation及随机名母体进程cqhzxp。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

主机上无发现恶意定时任务,通过ssh特征匹配确认该木马为DDG家族。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

本次DDG家族为最新的5028版本,其恶意组件在/var/lib/的一个随机名目录下。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

重定向域名中,较5025版本新增了www.minpop.com,经过威胁关联确认这是一个名为shellbot的perl恶意软件。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

借助P2P僵尸网络,DDG挖矿木马运行后会随机从其他失陷主机中拉取slave或jobs配置文件,slave里配置的是攻击组件的信息,jobs配置的是清除异己家族的信息。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

slave配置文件的核心内容如下,使用了2个挖矿程序,MD5分别为cfde21dc48f06da5688e81b1cdeb2b3e和d146612bed765ba32200e0f97d0330c8,新增了2个矿池地址,50.116.37.115和134.209.249.49。同时,slave配置中去掉了i.sh部分的内容,也说明5028变种已弃用i.sh的传播&驻留方式。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

使用开源工具https://github.com/0xjiayu/DDGBotnetTracker解密出目前失陷的主机列表如下。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

代码部分没有太大变化,新增了killLowCpuMiner函数,用于清除一些智能挖矿的进程。

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

传播方式还是沿用了以下4个漏洞进行攻击:

1.SSH密码暴破

2.redis未授权访问漏洞

3.Nexus Repository Manager 3 RCE漏洞(CVE-2019-7238)

4.Supervisord RCE漏洞(CVE-2017-11610)

DDG最新变种v5028,警惕沦为挖矿“肉鸡”

 

三、加固建议

1、linux恶意软件以挖矿为主,一旦主机被挖矿了,CPU占用率高,将会影响业务,所以需要实时监控主机CPU状态。

2、定时任务是恶意软件惯用的持久化攻击技巧,应定时检查系统是否出现可疑定时任务。

3、部分企业还存在ssh弱密码的现象,应及时更改为复杂密码,且检查在/root/.ssh/目录下是否存在可疑的authorized_key缓存公钥。

4、定时检查Web程序是否存在漏洞,特别关注Redis未授权访问等RCE漏洞。

四、IOC

C&C地址

68.183.186.25

矿池地址

50.116.37.115:443

178.128.108.158:443

134.209.249.49:443

103.195.4.139:443

68.183.182.120:443

样本MD5

17028FABB703AD98E44691DEDC7C3D1F

cfde21dc48f06da5688e81b1cdeb2b3e

d146612bed765ba32200e0f97d0330c8

转载来自FreeBuf.COM



Tags:DDG   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
近期,深信服安全团队捕获到DDG挖矿木马最新变种v5028,和之前的变种v5023相比,新版本的DDG挖矿木马更新了C&C地址及挖矿地址,同时弃用了传统的i.sh驻留方式。经深信服安全云脑数...【详细内容】
2020-07-09  Tags: DDG  点击:(174)  评论:(0)  加入收藏
▌简易百科推荐
据ZDNet12月24日报道,CISA本周发布了自己的Log4J扫描器,同时发布的还有网络安全公司和研究人员发布的其他扫描器。开源的Log4j扫描器是由开源社区其他成员创建的扫描器派生而...【详细内容】
2021-12-24  邮电设计技术    Tags:Log4j   点击:(10)  评论:(0)  加入收藏
我们所见过的技术上最复杂的漏洞利用之一”- 谷歌“零号项目”安全研究人员评价ForcedEntry无交互攻击。多年来,以色列间谍软件开发商NSO集团针对安卓和iOS设备开发出了多款...【详细内容】
2021-12-24  科技湃小编    Tags:黑客   点击:(8)  评论:(0)  加入收藏
这几天Log4j的问题消息满天飞,今天我们就一起来看看从源码角度看看这个漏洞是如何产生的。 大家都知道这次问题主要是由于Log4j中提供的jndi的功能。具体涉及到的入口类是lo...【详细内容】
2021-12-15  IT技术资源爱好者    Tags:Log4j漏洞   点击:(15)  评论:(0)  加入收藏
随着网络安全防御需求扩大,网安技术、产品和解决方案数量也随之激增。为了了解和驾驭全球网络安全市场,对比国内外网络安全企业的差异,今天我们来看看由国外网络安全垂直媒体eS...【详细内容】
2021-09-18  数说安全    Tags:网络安全公司   点击:(189)  评论:(0)  加入收藏
作者:左右里编辑:釉子 据BitDefender安全研究人员称,他们发现了一个黑客组织正在以SSH暴力破解的方式攻击Linux设备,目的是在这些设备上安装门罗币恶意挖矿软件。SSH,一种为远程...【详细内容】
2021-07-22  看雪学院    Tags:矿机   点击:(186)  评论:(0)  加入收藏
在互联网、金融和区块链领域风靡的数字资产/版权证书(NFT)正面临一系列网络安全危机。上周四,一位自学成才的艺术家麦克·温克尔曼(Mike Winkelmann)以6930万美元的价格在...【详细内容】
2021-03-19      Tags:漏洞   点击:(156)  评论:(0)  加入收藏
前段时间,sudo被曝不要密码就可进行root提权的漏洞引起一片哗然,众多公司纷纷连夜打补丁来避免损失。FreeBuf也对此进行了相应的报道《不用密码就能获取root权限?sudo被曝新漏...【详细内容】
2021-03-16      Tags:root提权漏洞   点击:(137)  评论:(0)  加入收藏
深度学习是机器学习的一个子领域,它采用了一个特定的模型:一族通过某种方式连接起来的简单函数。由于这类模型的结构是受到人类大脑结构的启发而创造出来的...【详细内容】
2021-02-26      Tags:深度学习   点击:(269)  评论:(0)  加入收藏
物联网技术正在加速向各行业渗透,根据中国信通院《物联网白皮书(2020年)》内容显示:预计到2025年,物联网连接数的大部分增长来自产业市场,产业物联网的连接数将占到总体的61.2%。...【详细内容】
2021-01-22      Tags:物联网安全   点击:(463)  评论:(0)  加入收藏
CSRF跨站请求伪造(Cross-Site Request Forgery)CSRF经常配合XSS一起进行攻击!(同XSS类似,都属于跨站攻击,不攻击服务器端而攻击正常访问网站的用户!)XSS利用站点内的信任用户,CS...【详细内容】
2020-10-22      Tags:Web漏洞   点击:(560)  评论:(0)  加入收藏
相关文章
    无相关信息
最新更新
栏目热门
栏目头条