利用ngrok传播样本挖矿

概述 "链治百病,药不能停"。时下各种挖矿软件如雨后春笋层出不穷,想把他们都灭了,那是不可能的,这辈子都不可能的。通常我们都忽略他们。但这个利用ngrok生成大量随机域名作为Downloader和Report域名,对抗安全设施阻断其域名,隐藏真实服务器地址的挖矿恶意样本成功的引起了我们的注意。 该恶意样本的主要特点是: 使用ngrok定期更换的随机域名作为Downloader和Report域名。 利用redis,docker,jenkins,drupal,modx,CouchDB漏洞植入xmr挖矿程序挖矿。 企图扫描以太坊客户端,盗取以太币,当前未实际启用。 企图感染目标设备上的js文件,植入CoinHive挖矿脚本浏览器挖矿。 动态生成挖矿脚本和扫描脚本。 该挖矿样本主要模块由Scanner脚本,Miner脚本,Loader构成。Scanner模块负责扫描和上报漏洞信息给Loader。Loader负责给存在漏洞的设备植入Scanner和Miner。Miner负责挖矿。 Ngrok ngrok是一个反向代理,

DDG.Mining.Botnet:一个瞄准数据库服务器的挖矿僵尸网络

从 2017-10-25 开始,我们监控到有恶意代码在大规模扫描互联网上的 OrientDB 数据库服务器。进一步的分析发现,这是一个长期运营的僵尸网络,其主要目标是挖取门罗币(XMR,Monero CryptoCurrency)。我们将其命名为 DDG 挖矿僵尸网络 (DDG Mining Botnet,以下简称 DDG) ,主要原因是因为其核心功能模块的名称为 DDG。 DDG 累积挖取的门罗币数目较大。目前我们能够确认该僵尸网络累积挖取的已经超过 3,395枚门罗币,按当前价格折合人民币 ¥5,821,657 。另外因为矿池记账系统的问题,有2,