WatchDog近期挖矿活动披露

2023年 11月 24日 102.4k 0

攻击描述

山石网科情报中心近期获取了一批挖矿恶意样本。其在受害主机上执行后除了挖矿还会进行漏洞利用、清除其他挖矿进程等活动。分析对比发现这些样本疑似Watchdog挖矿活动脚本。Watchdog攻击团伙最早于2019年被披露,目前仍在活跃中。其常用攻击方式是利用redis漏洞入侵受害主机,随后进行挖矿、漏洞利用等恶意活动。

简要分析

样本为一个PowerShell脚本。其中定义了多个恶意程序与脚本的下载url和备用下载url。脚本执行后将依次检查这些文件是否存在,不存在则下载这些文件,若下载失败则使用备用url再次下载。

该脚本使用SchTasks.exe创建定时任务定期执行自身。

之后脚本将依次在后台执行下载的恶意可执行程序或脚本。

分析这些程序或脚本发现:

1、“redis-bin.exe”为挖矿程序。由于C2下载url失效,目前未获取该样本。由开源情报分析该程序应为xmrig门罗币挖矿程序。

2、“VGAuthServices.exe”为漏洞扫描利用程序。由go语言编写,使用upx加密。执行后将在受害主机中扫描利用如CVE-2015-1427、CVE-2014-3120等漏洞。以下为部分利用漏洞:

3、“rsyncd.ps1”即为该脚本自身。

4、“rsysdlog.exe”同样由go语言编写,使用upx加密。其主要功能为扫描进程,并使用SchTasks计划任务保证挖矿程序持续运行。

5、“clean.bat”批处理脚本会扫描并清除其他挖矿进程。以下为部分清除进程。

此外还会将受害主机主机名、ip发送至C2服务器。

6、“clean.exe” 由rust语言编写,使用upx加密。执行后将“bak$”用户添加到管理员用户组。脚本下该程序后并未直接执行它。

失陷指标

b0c08627430b7762e305880ca2714728
da4a0db31fc346355edef28f8ad23ad8
02c6ab99ec79112bcf04f71454224563
2ec4ae1aaabc5ba4b804706b72f8ce9b
fadd08a8e50e14078387806d70cba3a0
6b1b5830e221865c1b80f08f6bae9a01
45.155.250.64
www.cn2an.top

转载来源:https://mp.weixin.qq.com/s/9I4W-N3neYo-p4Spi_iS0A

图片来源网络目标可联系删除

相关文章

Mallox勒索软件新Linux变种现世
伪装成破解程序和商业工具的新型恶意软件正在传播
Orcinius后门新样本分析
Poseidon窃取程序通过Google广告感染Mac用户
大选开始之际,欧盟各政党遭受 DDoS 攻击
微软2024

发布评论