您现在的位置是:首页 > 黑客技术

Satori变异已经根据更换钱夹详细地址窃取ETH数据代币总

作者:果E安全网时间:2020-10-25 19:24:34分类:黑客技术

简介360网络安全性研究所17年12月5日公布有关Satori的?文章内容,提及Satori拒绝服务攻击已经以史无前例的速率迅速散播。自打文章内容公布之后,安全社区、ISP、供应链管理生产商相互合作,Sat

360网络安全性研究所17年12月5日公布有关Satori的?文章内容,提及Satori拒绝服务攻击已经以史无前例的速率迅速散播。自打文章内容公布之后,安全社区、ISP、供应链管理生产商相互合作,Satori 的操纵端网络服务器被 sinkhole、ISP和供应链管理生产商采用了行動,Satori的扩散发展趋势获得了临时抵制,可是Satori的威协仍然存有。

从 2018-01-0810:42:06 GMT 8 刚开始,大家检验到Satori 的后续变异已经端口37215和52869上再次创建全部拒绝服务攻击。特别注意的是,新变异刚开始渗入互联网技术上现有别的Claymore Miner挖矿机器设备,根据进攻其3333 管理方法端口,更换钱夹详细地址,并最后牟取被害挖矿机器设备的算力和相匹配的 ETH 代币总。360网络安全性研究所将这一变异取名为 Satori.Coin.Robber。

这是第一次有拒绝服务攻击更换别的挖矿机器设备的钱夹。这给抵抗恶意程序产生了一个新难题:即便 安全社区事后对接了 Satori.Coin.Robber 的上联操纵网络服务器,这些早已被伪造了钱夹详细地址的挖矿机器设备,仍将不断为其奉献算力和 ETH 代币总。

到 2018-01-1617:00 GMT 8 已经, 挖矿软件的?付钱纪录?显示信息:

Satori.Coin.Robber当今已经不断挖矿,最后一次升级大概在五分钟以前;

Satori.Coin.Robber以往2天内均值算力大概是1606 MH/s;帐户过去24小时积累收益 0.1733 个ETH代币总;

Satori.Coin.Robber早已在17年1月21日14时取得了挖矿软件投入的第一个ETH 代币总,另有 0.76 个代币总在帐户上

此外值得一提的是,Satori.Coin.Robber的创作者根据下边这句话声称自身当今的编码沒有故意,而且留有了一个电子器件邮件地址:

Clipboard Image.png

图1

Claymore Miner 是一个时兴的的多种多样代币总的挖矿程序流程,互联网技术上现有了较多机器设备已经根据Claymore Miner挖矿。Claymore Miner 出示了实时监控和管理方法的插口。

依照其?文本文档?的叙述,其 Windows版本根据 Remote management 根目录下的EthMan.exe 文档,在3333端口上,出示了实时监控和管理方法的特点。其初期版本容许远程控制载入挖矿过程的运作情况,另外也容许实行重新启动、文件上传等操纵个人行为。

在默认设置状况下就可以得到 一部分决策权,这显而易见是个易损性难题。做为解决,8.1 版本之后,Claymore Miner 默认设置应用 -3333 (而不是 3333 )端口做为起动主要参数,这代表着远程访问端口是写保护的,已不可以实行操纵指令。

可是这并不意味着这一系列的远程访问插口难题就告一段落了。17年十一月,CVE-2017-16929?被公布,容许远程控制读写能力随意文档。相匹配的?运用编码?也早已批露。

360网络安全性研究所此次观查到的漏洞检测编码跟上边列举的均各有不同。此次进攻主要是对于对外开放了3333端口管理方法、另外又沒有设定远程登陆登陆密码的 Claymore Miner挖矿机器设备。为避免 潜在性的乱用,360网络安全性研究所不容易在文章内容中发布详尽关键点。

Satori.Coin.Robber 变异已经运用所述易损性难题牟取 ETH 代币总算力

在 2018-01-08至2018-01-12期内,360网络安全性研究所观查来到下列样版:

?Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

图2

这组样版是Satori的事后变异,这一变异不但会扫描仪以前的 37215 和 52869 端口,还会继续扫描仪 3333 端口,三个端口上的扫描仪荷载分别是:

端口 37215 : 现有,对于系统漏洞 CVE-2017-17215,华为集团近期公布了有关的申明,并在不断升级;

端口 52869 : 现有,对于系统漏洞 CVE-2014-8361,这是一个对于 Realtek SDK 的系统漏洞,在网上自二零一五年就公布了漏洞检测编码

端口 3333 :增加,对于所述 Eth 挖矿过程远程访问插口的进攻。

Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

图3

图中是端口 3333 的扫描仪荷载。这一扫描仪中,Satori.Coin.Robber 会次序传出三个包,分别是:

第一个包:miner_getstat1,获得情况;

第二个包:miner_file,更新reboot.bat文件,更换在其中的挖矿软件和钱夹详细地址;

第三个包:miner_reboot,重新启动起效。

在这个所述 reboot_bat的文档更新过程中:

挖矿软件详细地址更换为:eth-us2.dwarfpool.com:8008

钱夹详细地址更换为:0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

根据这类方法,Satori.Coin.Robber将别的机器设备上 ETH 挖矿过程的算力牟取为己用。

比照2个版本的 Satori.Coin.Robber,找寻在其中的不同点:

737af63598ea5f13e74fd2769e0e0405Satori.Coin.Robber

5915e165b2fdf1e4666a567b8a2d359asatori.x86_64,17年十月版本,VT汇报详细地址

相同之处:

编码:均应用了UPX加壳,而且应用了同样的幻数 0x4a444E53,蜕壳后很多编码构造相近。

配备信息内容:配备信息内容均数据加密,加密算法同样,且很多配备字符串数组是一致的。比如 /bin/busybox SATORI,bigbotPein,81c4603681c46036,j57*&jE,这些;

扫描仪荷载:二者均扫描仪 37215和 52869 端口,而且应用了同样的扫描仪荷载

360网络安全性研究所觉得这种直接证据够强,足够将此次的新变异与以前的 Satori 联络起來。

不同之处:

扫描仪荷载:Satori.Coin.Robber增加了 3333 端口上对于 Claymore Miner的进攻

扫描仪全过程:Satori.Coin.Robber应用了多线程数据连接(NIO)方法进行联接,这类方法会提升 扫描仪高效率

C2 协议书:Satori.Coin.Robber 开启了一组新的C2 通讯协议,会根据DNS协议书与54.171.131.39通讯。后边会出现专业的一节来叙述。

下边是一些详尽的截屏直接证据展现:

Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

图4

Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

图5

Satori.Coin.Robber的 C2 :

硬编码的IP地址,54.171.131.39,坐落于西班牙都柏林。

通讯协议是根据DNS改动的,能够应用 dig @54.171.131.39 $DNS-QNAME any short 的方法做一个简易检测,每一个$DNS-QNAME相匹配不一样的作用。

Clipboard Image.png

图6

协议书释意以下:

手机客户端要求w.sunnyjuly.gq,缺少对象0xB15A5332eB7cD2DD7a4Ec7f96749E769A371572d

手机客户端要求 p.sunnyjuly.gq,缺少对象 eth-us2.dwarfpool.com:8008

手机客户端要求s.sunnyjuly.gq,缺少对象一段字符串数组 "Satori dev here, dontbe alarmed about this bot it does not currently have any malicious packetingpurposes move along. I can be contacted at curtain@riseup.net."

手机客户端要求 f.sunnyjuly.gq,缺少对象 213.74.54.240。这一要求并并不是样版中出現的,是360网络安全性研究所的科学研究工作人员试着 fuzzing 后获得的。

最前边2个要求的答复,正好是bot 伪造其他挖矿机器设备后应用的挖矿软件和钱夹详细地址。可是现阶段环节,样版中的扫描仪荷载依然是硬编码的,并沒有应用这儿的缺少对象值; 缺少对象的那一段英语,翻译中文的疏忽是“我是Satori的创作者,如今这一bot还没什么故意的编码,因此 临时放松。联络我的话,电子邮件写給curtain@riseup.net”

360网络安全性研究所大致能够应用三个扫描仪端口在 ScanMon 上的扫描仪发展趋势来衡量 Satori.Coin.Robber 的感柒范畴和发展趋势。

37215、52869?和?3333?端口上以往30 天的扫描仪发展趋势先后以下:

Satori 变种正在通过替换钱包地址盗取 ETH 数字代币

图7

Clipboard Image.png

图8

Clipboard Image.png

图9

整体看来,三个端口上均有扫描仪疯涨,与此次样版主要表现可以相匹配:

原始出現時间都会 2018年1月9日周边;

高峰期時间都会都会 2018年1月9日~2018年1月9日周边;

近期几日扫描仪量慢慢降低;

关键扫描仪来源于在 AS4766Korea Telecom ;

单独扫描仪源IP地址,约为 4.9k

噪声层面,37215与52869 端口上,根据1月9日之前的主要表现,很有可能有一部分扫描仪来源于不属于Satori.Coin.Robber;可是 3333 端口较为整洁,根据1月9日之前的主要表现看来,噪声较小。充分考虑三个端口上的扫描仪主要表现趋向一致,360网络安全性研究所觉得所述数据信息能够主要表现当今 Satori.Coin.Robber 的感柒发展趋势。

Satori 的最开始版本尽管早已被安全社区抑止,可是新的继任早已出現。

新的S atori.Coin.Robber,会扫描别的设备上的挖矿程序,并将钱包地址替换成自己的。这是360网络安全研究院在botnet领域第一次看到这种行为模式。

  尽管作者宣称自己当前没有恶意,但是传播恶意代码、未经授权修改他人计算机上的信息、攫取他人计算机算力为自己挖取数字代币,这些行为都是恶意行为。

  考虑到12月5日附近Satori在12小时内感染了超过26万IoT设备,当前Satori.Coin.Robber的感染速度已经远远变低,暂时不用恐慌。

  上述感染速度的降低,不应该归因为攻击者刻意降低了扫描的速度,特别是考虑到攻击者启用了NIO技术来加速扫描阶段的效率;而应该归因为安全公司、ISP、供应链设备厂商共同的协作和努力。

  *本文作者:360 安全卫士,转载请注明来自 宝洁信息网.COM

郑重声明:

果E安全网所有活动均为互联网所得,如有侵权请联系本站删除处理,转载请注明本站地址。

上一篇:Metinfo6.0.0

下一篇:返回列表

我来说两句