首页 > 安全 > 正文

灰尘模块使用类似蠕虫的技术扩展机器人

最后更新 :2022.03.21

DirtyMoe Botnet继续发展,现在包括一种模块,该模块实现了难以变性的传播能力。

在6月2021年6月,Avast的研究人员警告了脏肥僵尸网络的快速增长(Purplefox,  Perkiler,和 尾肺部)在2020年的2020年的10,000个受感染的系统中通过了10,000多个受感染的系统。专家定义了脏摩托,作为被设计为模块化系统的复杂恶意软件。

Windows Botnet自2017年底以来一直活跃,它主要用于挖掘加密货币,但它也参与了2018年的DDOS袭击事件。灰尘rootkit通过MALSPAM活动提供或由托管Purplefox Exploit套件的恶意网站提供。d自2020年底以来,当恶意软件作者添加了一个 蠕虫模块 这可以通过通过互联网传播到其他Windows系统来增加他们的活动。

现在Avast研究人员提供了一种使用蠕虫的脏模块的细节 - 允许威胁要扩散的技术,而无需用户交互。
DirtyMoe 分析表明,蠕虫模块针对旧的众所周知的脆弱性,例如Eternalble和Hot Potato Windows特权升级。另一个重要的发现是使用服务控制管理器远程协议(SCMR),WMI和MS SQL服务的字典攻击。最后,同样关键的结果是发现基于蠕虫模块的地理位置生成受害者目标IP地址的算法。读取由AVAST发布的Analsys.one蠕虫模块可以生成并攻击每天数十万私有和公共IP地址;许多受害者处于危险之中,因为许多机器仍然使用未被划分的系统或密码弱密码。
脏实用服务作为svchost 后者启动脏磁核心核心和刽子手进程的进程,管理恶意软件模块。刽子手加载两个模块,Monero矿工和用于蠕虫复制的模块。

脏蠕虫利用以下漏洞来扩展恶意软件:[CVE-2019-9082:Thinkphp - 多个PHP注射RCESCVE-2019-2725:Oracle WebLogic Server - AsyncresponsERVice Deserialization RCecve-2019-1458:Wizardopium本地特权EscalationCve-2018-0147:Deserialization vUltniabilityCve-2017-0144:EternalBlue SMB Remote代码执行(MS17-010)MS15-076:RCE允许目的地(热马铃薯Windows特权升级)的提升到MS SQL服务器,SMB和Windows Management Instrumentation(WMI)服务,具有弱密码DirtyMoe botnet蠕虫模块旨在在管理员权限下实现RCE并安装DIrtymoe。
该模块的关键特征是生成IP地址(IP)攻击。恶意软件在伪随机发生器的帮助下实现六种方法来生成IP。

我们还发现了一个在开发中的一个蠕虫模块,其中包含其他漏洞利用实现 - 它似乎没有完全武装部署。然而,有可能已经实施了测试的漏洞已经实施并在野外蔓延。结论分析。根据有源脏摩托实例的数量,可以认为蠕虫每天可以威胁数十万台电脑。此外,新的漏洞(如Log4J)提供了实现新蠕虫模块的巨大和强大的机会。考虑到这一点,我们的研究人员继续监控蠕虫活动并寻找其他蠕虫模块。

- END -

看更多