Enter your keyword

Glupteba恶意软件使用比特币区块链更新C2域 – 中国财经公关网

Glupteba恶意软件使用比特币区块链更新C2域 – 中国财经公关网

Glupteba恶意软件滴管的一个新变种是使用比特币区块链从标记有OP_RETURN脚本操作码的比特币交易中获取命令和控制(C2)服务器域。

Glupteba之前已被AlureonTrojan作为二级有效载荷分发,作为2011年旨在推动点击劫持上下文广告的活动的一部分,以及2014年借助于漏洞利用工具包,将Windigo行动背后的威胁演员推向目标的Windows计算机,正如ESET安全研究团队所发现的那样。

四年后,即2018年,ESET再次发现恶意软件漏斗,同时通过付费安装方案通过恶意活动传播,将所有受感染的计算机添加到攻击者控制的僵尸网络中。

趋势科技最近发现的新版本已经转向恶意广告作为分发手段,除了新添加的比特币区块链C2更新程序之外,它还增加了两个模块,即信息窃取程序和针对本地MikroTik路由器的漏洞利用程序。

从比特币交易中检索C2服务器信息

新变体使用从硬编码比特币地址解析的比特币交易信息,使用设计用于按计划工作或由攻击者触发的discoverDomain函数检索C2服务器地址。

此功能通过使用GitHub上可用的列表枚举Electrum比特币钱包服务器,随后使用硬编码哈希查询“脚本的区块链脚本哈希历史记录”。

在检索所有相关的比特币交易之后,它会在查找标记包含恶意软件的C2服务器域的AES加密数据的OP_RETURN指令时解析所有这些事务。

“这种技术使威胁行动者更换CC服务器变得更加方便,”趋势科技的研究人员在分析新的Glupteba变种时发现了这一点。

“如果他们因任何原因失去对CC服务器的控制权,他们只需要添加一个新的比特币脚本,受感染的机器通过解密脚本数据并重新连接来获得新的CC服务器。

利用路由器,窃取信息,代理恶意流量

一旦它感染了计算机,滴管将开始收集它存储在Windows注册表中的系统信息,这些数据稍后将使用AES密码加密,并通过POST请求上传到恶意软件的C2服务器。

恶意软件还将使用多种方法来提升其使用SYSTEM权限运行的权限,以及旨在检查反恶意软件解决方案的功能,添加扫描排除项和防火墙规则,以及联系C2服务器以检查任何新命令。

Glupteba还具有后门功能,允许攻击者将受感染的机器转换为XMR挖掘机器人,下载和执行文件,截取屏幕截图等。

添加到此新版本的信息窃取程序组件可以收集浏览器配置文件,Cookie和帐户名称,并从GoogleChrome,Opera和Yandex网络浏览器中提取已保存的密码,并将所有数据泄露到信息收集中服务器。

Glupteba的路由器开发人员利用旨在针对CVE-2018-14847漏洞的攻击,搜索或攻击它在受害者本地网络上找到的所有MikroTik路由器。

成功利用后,路径的管理员凭据将被收集并发送到恶意软件的C2服务器。

“受损的路由器将被配置为SOCKS代理,用于中继恶意流量,与Windows上的Glupteba僵尸网络的最初目的相匹配,”研究人员发现。


Related Posts

狗65亚盘app_狗65亚盘_狗65平台