Перейти к содержанию


Последние сообщения:

  Схема заработка, от 200$ в день. (121) от RUBI  
  Ищу срочно ботнет с хвнц Windows (1) от Boldman  
  Ищу трафик, серый арбитраж (1) от Amnesty  
  Ищу работу скам (1) от 2dmx  
  CashApp btc+vcc =80$ (1) от Miki-666  

Последние темы:

  Ищу срочно ботнет с хвнц Windows (1) от Boldman  
  Ищу трафик, серый арбитраж (1) от Amnesty  
  Ищу работу скам (1) от 2dmx  
  CashApp btc+vcc =80$ (1) от Miki-666  
  911 S5 proxy (1) от Kokoroco  
Авторизация  
Mr_Support

Криптомайнинговый ботнет WatchBog использует Pastebin как C&C-сервер.

В теме 1 сообщение





Криптомайнинговый ботнет WatchBog задействует web-приложение Pastebin для C&C-операций. Данный ботнет еще с 2018 года сосредоточен на использовании Linux-систем для майнинга криптовалюты Monero, однако в июле нынешнего года во вредоносное ПО был добавлен код для сканирования на предмет уязвимости BlueKeep в Windows. Ботнет в основном эксплуатирует такие известные уязвимости, как CVE-2018-1000861 (в Jenkins), CVE-2019-11581 (Jira), CVE-2019-10149 (Exim) и CVE-2019-0192 (Sol).



По словам исследователей из команды Cisco Talos, данное вредоносное ПО для Linux в значительной степени полагается на сервис Pastebin, который выступает в роли C&C-сервера. Исследователям удалось получить представление об атаке и намерениях ее организаторов, проанализировав различные публикации на сайте. По всей видимости, преступники предлагали услуги по выявлению уязвимостей в корпоративных системах до того, как это смогут сделать «настоящие злоумышленники». Однако на самом деле обнаруженные уязвимые системы вскоре становились частью криптомайнингового ботнета.



Заразив систему, вредонос проверяет наличие других майнеров и пытается завершить их работу. Далее он определяет возможность записи в различные каталоги, проверяет архитектуру системы, а затем делает три попытки загрузить и установить дроппер. Скрипт установки извлекает содержимое URL-адреса Pastebin, содержащего идентификатор кошелька Monero и информацию о майнинге, а затем загружает майнер криптовалюты. Скрипт проверяет, запущен ли процесс «watchbog», в противном случае вызывает функции «testa» или «download».



Код в функции «testa» отвечает за запись данных конфигурации, используемых программным обеспечением для майнинга. Функция создает три переменные и присваивает каждой из них данные в кодировке base64. Затем данные декодируются и записываются в различные файлы. Скрипт загружает закодированные Pastebins в виде текстового файла, дает разрешения на выполнение, а затем запускает процесс Watchbog и удаляет файл.

Код в функции «download» выполняет аналогичные операции. Он записывает содержимое, извлеченное из различных файлов, определяет архитектуру системы, устанавливает соответствующий клиент для майнинга и запускает его.



По словам исследователей, операторы WatchBog используют SSH-протокол для продвижения по сети. Скрипт извлекает содержимое файла known_hosts и пытается подключится по SSH к системам. Вредонос также проверяет наличие ключей SSH для авторизации на целевых системах.

Поделиться сообщением


Ссылка на сообщение

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
Авторизация  

×