来源:腾讯御见威胁情报中心
一、概述
腾讯安全御见威胁情报中心监测到团伙利用ApacheStruts2远程命令执行漏洞攻击windows服务器,从团伙使用的文件列表来看,主要通过爆破或漏洞利用进行攻击,且针对windows服务器,已控制服务器270台左右,被下发挖矿木马的服务器有44台,该团伙挖取门罗币已赚得3.5万元。
二、详细分析
查看团伙HFS服务器文件列表,可以看到多个扫描爆破工具、漏洞利用工具、密码抓取工具、远程控制工具及端口转发工具。
爆破扫描模块
黑客使用1433扫描工具,配合密码表对sqlserver服务器进行爆破:
动态 | 日本GMO公司2019净利润下降 加密业务受到影响但仍实现盈利:2月4日,日本GMO公司公布其2019财年报告。报告显示,GMO(GMO Financial Holdings,Inc.)2019年净利润同比下降21.3%至60亿日元。报告提到,在加密货币业务中,由于受到加密货币(主要是比特币)的较低波动性的影响,并且从7月底开始提前采用虚拟货币交易协会的自律规则而降低了保证金交易的杠杆作用。但尽管销售下降,但该公司通过优化保险范围提高了盈利能力,并获得了一定程度的利润。(日经新闻)[2020/2/4]
3389爆破工具NLBrute1.2
行情 | 第三季度加密货币市场的宏观数据:比特币下跌23.8% 是2012年以来第三糟糕的季度:Blockforce Capital 的首席投资官 David Martin 在总结了今年第三季度加密货币市场上的一些宏观数据。以下是一些主要观点:1. 比特币价格9月份下跌14.4%,连续三个月下跌。在整个第三季度,黄金表现最好,价格上涨4.5%,而比特币价格下跌了23.8%。同时,这也是比特币自从 2012 年以来,表现第三糟糕的一个季度;2. 第三季度,芝加哥交易所CME的交易量与第二季度相比,有所下降,但未平仓合约量保持不变;3. 第三季度,加密货币市值前10位的项目平均亏损44%,以太坊是前10大项目中,唯一在9月份不跌反涨的资产,上涨幅度4%;4. 截止到目前,BNB 是今年表现最好的资产,价格上涨160%,比特币位列第二,价格上涨124%;5. 币安美国交易所在上线后的7天内,交易量有610个比特币,约450万美元。9月23日上线的Bakkt,交易量有754个比特币。[2019/10/5]
S扫描器
动态 | 区块链等行业企业家上榜《2019胡润Under30s创业领袖》:?9月27日,胡润百富发布《2019胡润Under30s创业领袖》,今年共有来自十大行业343家企业的380位青年才俊荣登榜单,此外,有132位80后企业家财富超过20亿元,其中白手起家的有50位,主要来自在线游戏、区块链、先进制造业、互联网服务、教育和娱乐行业。(证券日报)[2019/9/28]
漏洞利用模块
ApacheStruts2远程命令执行漏洞利用
动态 | 灰度在2018年熊市中共筹集3.595亿美元:据CryptoMeNow报道,加密资产管理公司灰度(Grayscale)在2018年筹集了3.595亿美元,强劲地度过了长达14个月的熊市。据Grayscale称,去年第四季度的表现平平,但该业务仍然在2018年达到创纪录的水平。Grayscale的官方报告披露,3.595亿美元的投资中,66%由机构投资者投资,价值约为2.37亿美元。[2019/2/15]
门罗币挖矿模块
对服务器入侵成功后,则下发挖矿挖矿模块2020.exe
矿池:xmr.f2pool.com:13531
钱包:
8aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
目前已经挖到90个XMR,市值约35886人民币
端口转发工具ok.exe被ramnit蠕虫病感染
黑客服务器上的端口转发工具已经被ramnit感染,入口点被修改在最后一个.text节
RamnitC2:82.112.184.197:447,45.55.36.236:447,8.7.198.46:80
去掉ramnit感染代码后,实际上是一个端口转发工具
所以被入侵的windows服务器也同样会被感染Ramnit蠕虫病。Ramnit蠕虫病是影响Windows系统的计算机蠕虫。Ramnit感染可移动媒体,如USB驱动器,也隐藏在主引导记录中。主要感染.exe、.dll、.htm和.html扩展名的文件。2015年高峰时期,Ramnit曾经感染过超过300万台电脑。
三、同源分析
根据钱包地址进行关联,可以关联到F5研究团队在去年3月公布的“CryptoSink”行动中批量的钱包一样,当时已经挖掘到70个门罗币,可见这次挖矿攻击活动仍然跟“CryptoSink”关系较大。
四、安全建议
针对该黑产团伙的特点,我们建议企业用户参考以下方法解除风险:
1、建议修改远程桌面默认端口,或限制允许访问的IP地址;
2、升级ApacheStruts2至最新版,以修复安全漏洞。受影响版本Struts2.3.5–Struts2.3.31,Struts2.5–Struts2.5.10;
3、修改sqlserver密码,不要使用弱密码,弱密码非常容易被爆破入侵。SQL服务器被攻陷还可能导致严重的信息泄露风险。
IOCs
矿池:xmr.f2pool.com:13531钱包:48aZSQhyDBCZokwmVd5HG5Gp7UrAeLVuVmZbKcs4rTZTx1UXGECxbePXha3qncffYYhJjG5FRGxM1scV9dbN62VCGiPdtQ
URLhxxp://183.63.127.227:808/
MD5fabd73f8bf2bc803703778457c06893681c965ac62471ab62e85ca441d0031e6
作者丨阿荣 来源丨荣来科技 2019年整个区块链行业相比2017年的狂热有所收敛,相比2018年的惨淡又有些和缓.
区块链已迎来更为“科幻”的2020年,而回顾2019年区块链的发展,自是不能忽略各国公布的区块链政策信息。互链脉搏统计了2019年全球82个国家、地区、国际组织的共600余则区块链政策信息.
2019年已经离我们过去了一段时间,在新的一年近两周的时间里我们又体会到了币价的起起伏伏,而在这背后的比特币主链上也有着交易的来来玩玩.
对于很多人来说,区块链具有去中心化、去信任的好处,因为区块链可以分布式记账、数据不可删除、不可篡改。从技术的角度来看,这是正确的.
FPGA矿机,你可能以为这是2013年就被Asic淘汰的老东西,但是今天,它不仅重出江湖,在特定的领域,它可以说是非常赚钱.
欢迎阅读2020年第一篇以太坊2.0更新速览系列文章!今年将是令人兴奋的一年。 长话短说: 基金会发布v0.10.0规范,为多客户端测试网和安全审查目标提供基础;@paulhauner和@sig.