日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢(xún)
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
Glupteba:基于區(qū)塊鏈的多組件僵尸網(wǎng)絡(luò)

Glupteba僵尸網(wǎng)絡(luò)使用比特幣區(qū)塊鏈進(jìn)行C2備份。

Glupteba概述

近日,谷歌宣布采取措施打擊Glupteba僵尸網(wǎng)絡(luò)活動(dòng),Glupteba是一個(gè)攻擊Windows主機(jī)的多組件僵尸網(wǎng)絡(luò),使用比特幣區(qū)塊鏈中編碼的數(shù)據(jù)來(lái)作為備份的C2機(jī)制。

谷歌研究人員分析發(fā)現(xiàn)Glupteba會(huì)竊取用戶(hù)憑證和cookie、在感染的主機(jī)上進(jìn)行加密貨幣挖礦、部署和運(yùn)行攻擊Windows系統(tǒng)和物聯(lián)網(wǎng)設(shè)備的代理組件。Glupteb的受感染用戶(hù)遍布全球各地,包括美國(guó)、印度、巴西、東南亞等地。

Glupteba惡意軟件家族最初是通過(guò)pay per install (PPI)網(wǎng)絡(luò)和從流量分發(fā)服務(wù)處購(gòu)買(mǎi)的流量來(lái)傳播。一段時(shí)間后,研究人員發(fā)現(xiàn)每天有上千個(gè)惡意Glupteba實(shí)例下載。下圖是一個(gè)用來(lái)傳播Glupteba變種的web頁(yè)面,該頁(yè)面聲稱(chēng)下載的是破解的軟件,然而下載的卻是Glupteba惡意軟件變種:

傳播Glupteba變種的web頁(yè)面

研究人員分析Glupteba二進(jìn)制文件發(fā)現(xiàn)了一些含有g(shù)it的URL:“git.voltronwork.com”,這表明Glupteba 僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者同時(shí)在提供多個(gè)在線服務(wù)。這些服務(wù)包括利用竊取的憑證來(lái)出售虛擬機(jī)的訪問(wèn)權(quán)限、代理訪問(wèn)、出售信用卡號(hào)碼用于其他攻擊活動(dòng)等。

Glupteba服務(wù)上傳到谷歌廣告平臺(tái)的加密貨幣垃圾郵件

一年來(lái),Google研究人員采取了一系列措施來(lái)破壞使用了谷歌服務(wù)的Glupteba活動(dòng),其中包含6300萬(wàn)用來(lái)傳播Glupteba的谷歌文件、1183個(gè)谷歌賬戶(hù)、908個(gè)云項(xiàng)目、870個(gè)谷歌廣告賬戶(hù)等。此外,還通過(guò)谷歌安全瀏覽向350萬(wàn)用戶(hù)可能下載惡意文件的用戶(hù)發(fā)布預(yù)警消息。

此外,谷歌還參與針對(duì)Glupteba僵尸網(wǎng)絡(luò)運(yùn)營(yíng)人員的訴訟活動(dòng),經(jīng)過(guò)分析發(fā)現(xiàn)2個(gè)Glupteba僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)人員位于俄羅斯。

Glupteba的C2備份機(jī)制

僵尸網(wǎng)絡(luò)的C2通信一般使用HTTPS來(lái)在控制服務(wù)器和受感染的系統(tǒng)之間進(jìn)行命令和二進(jìn)制文件的更新。為了增加其基礎(chǔ)設(shè)施彈性,Glupteba僵尸網(wǎng)絡(luò)運(yùn)營(yíng)人員還使用比特幣區(qū)塊鏈實(shí)現(xiàn)了一種C2備份機(jī)制。如果主C2服務(wù)器沒(méi)有響應(yīng),受感染的系統(tǒng)就可以從以下比特幣地址的最新交易中提取加密的備份C2域名:

'1CgPCp3E9399ZFodMnTSSvaf5TpGiym2N1'

'15y7dskU5TqNHXRtu5wzBpXdY5mT4RZNC6’

'1CUhaTe3AiP9Tdr4B6wedoe9vNsymLiD97'

二進(jìn)制文件中硬編碼了用于解密的32字節(jié)AES密鑰:

'd8727a0e9da3e98b2e4e14ce5a6cf33ef26c6231562a3393ca465629d66503cf'

'1bd83f6ed9bb578502bfbb70dd150d286716e38f7eb293152a554460e9223536’

比特幣交易中的OP_RETURN數(shù)據(jù)可以使用AES-256 GCM密鑰來(lái)解密備份的C2域名。OP_RETURN域中的前12字節(jié)中含有初始向量IV,后16字節(jié)是GCM便簽,中間的部分是AES-256 GCM加密域名。

解密加密的域名的Python腳本如下所示:

關(guān)于Glupteba網(wǎng)絡(luò)協(xié)議的詳細(xì)信息參見(jiàn):https://news.sophos.com/wp-content/uploads/2020/06/glupteba_final-1.pdf

本文翻譯自:https://blog.google/threat-analysis-group/disrupting-glupteba-operation/如若轉(zhuǎn)載,請(qǐng)注明原文地址。


當(dāng)前名稱(chēng):Glupteba:基于區(qū)塊鏈的多組件僵尸網(wǎng)絡(luò)
網(wǎng)頁(yè)網(wǎng)址:http://www.5511xx.com/article/cdcosci.html