利用ngrok传播样本挖矿 概述

概述 "链治百病,药不能停"。时下各种挖矿软件如雨后春笋层出不穷,想把他们都灭了,那是不可能的,这辈子都不可能的。通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功的引起了我们的注意。 该恶意样本的主要特点是: 使用ngrok定期更换的随机域名作为Downloader和Report域名。 利用redis,docker,jenkins,drupal,modx,CouchDB漏洞植入xmr挖矿程序挖矿。 企图扫描以太坊客户端,盗取以太币,当前未实际启用。 企图感染目标设备上的js文件,植入CoinHive挖矿脚本浏览器挖矿。 动态生成挖矿脚本和扫描脚本。 该挖矿样本主要模块由Scanner脚本,Miner脚本,Loader构成。Scanner模块负责扫描和上报漏洞信息给Loader。Loader负责给存在漏洞的设备植入Scanner和Miner。Miner负责挖矿。

http

http劫持点探测

无意中发现大量恶意url下载回来的是同一个md5,分析后发现国内存在恶意url劫持现象,遂对劫持点做了下探测。 探测原理 通过TTL衰减来做测量。TTL是IP协议包中的一个值,它告诉网络,数据包在网络中的时间是否太长而应被丢弃。有很多原因使包在一定时间内不能被传递到目的地。解决方法就是在一段时间后丢弃这个包,然后给发送者一个报文,由发送者决定是否要重发。基于这个特性,我们可以设置http请求里面的TTL值来观察看是在第几跳发生的劫持,然后通过traceroute来获得劫持点的IP,这样我们就可以知道在什么位置发生的劫持了。 举个例子 比如下面这个url,通过脚本测试,发现在第8跳存在劫持。 $ python hijack_chain_trace.py 8 http://43.x.x.x/AB4g5/Josho.