《绝命毒师》将于本周播出。今天我们讨论:XYZ您的RDP,关闭后门!,在加密货币上打开科莫多.
以下是我们讨论过的每篇文章中的一些亮点:
XYZ您的RDP
- 僵尸网络所做的很大一部分似乎只是在建立自己。也就是说,它正在使用它找到的这些RDP服务器,当它可以强行进入这些服务器时,它会设置它们去招募更多开放的RDP服务器,并将这些信息传递给C2服务器。
- 基本上,在经典的僵尸网络方式中,基础设施主要由已被破坏的无辜机器组成。当然,我将在这里把“无辜的”加上引号,因为您可能会说,将RDP公开暴露在Internet上是一个非常糟糕的主意,如果您这样做,您就不是完全无辜的。
- 然而,如果你使用强大的用户名/密码组合,那么你可能不会受到这个僵尸网络的超高风险。
- 这是一个相当自动化的活动,没有使用网络钓鱼或任何其他人为攻击技术。除非它被拆除,否则它会继续自己运行。
- 我稍微研究了一下C2基础结构。Morphus在分析中指出了两个范围;其中一个是美国提供商的个人地址;另一个是在台湾的大范围(12个C级)。对于这个地址空间的大小,实际上我们在那里发现的域名并不多,最多只有几百个。但我没有研究特定的领域。这个恶意软件似乎实际上硬编码C2的IP地址,而不是域名,但我猜有一个过程,通过每个恶意代码实例可能获得不同的IP(否则,它真的很容易杀死恶意软件)。
- Morphus做了一个测试,他们运行了6个小时的代码,得到了大约210万个IP地址,其中大约150万个是唯一的。所以有很多折衷的RDP。不要这样做!不要把你的RDP放到网上!!
关闭后门!
- HAWKBALL是一个后门,攻击者可以利用它来窃取信息并传递额外的恶意软件。
- 它能够测量主机,执行本机Windows命令,终止进程,创建,删除和上传文件,搜索文件,以及枚举驱动器。
- 该诱饵文件(由FireEye引用)看起来是西里尔字母,名为doc.rtf。它包含一个OLE对象,该对象使用Equation Editor (Microsoft程序)删除嵌入的shell代码,然后在内存中解密。
- 翻译为《独联体缔约国反恐怖主义安全部队和特别部门指导构成汇编》。
- 独联体国家包括:亚美尼亚、阿塞拜疆、白俄罗斯、哈萨克斯坦、吉尔吉斯斯坦、摩尔多瓦、俄罗斯、塔吉克斯坦、乌兹别克斯坦。
- 诱饵文件是通过网络钓鱼邮件发送的。解密后,它将信息存储在保存在app data/temp(非常传统)中的日志文件中,并通过单个硬编码的IP发送到C2服务器。
- 总的来说,这似乎并不是一个非常复杂的攻击。它有一个单独的硬编码的C2服务器,用于发送日志文件。IP归Choopa所有,这意味着那里没有什么信息,因为它是一个专门的托管提供商。
在加密货币上打开科莫多
- Komodo是一个加密货币项目,也是Agama钱包的创造者,为了保护客户而竭尽全力。
- 总之,该公司入侵了客户,并在未经乐动体育官网下载授权的情况下将资金转移到该公司拥有的新地址。
- 长话短说,科莫多正在与黑客赛跑,并利用这一漏洞来帮助保护他们的客户。
本周帽衫量表
XYZ您的RDP
(Tim):1/10的连帽衫
(艾米丽):2/10的连帽衫
关闭后门!
(Tim):1/10的连帽衫
(艾米丽):3/10的连帽衫
在加密货币上打开科莫多
(Tim):7/10的连帽衫
(艾米丽):5/10的连帽衫
这就是我们本周的全部内容,你可以在推特上找到我们@domaintools,我们播客中提到的所有文章都会出现在我们的博客中。太平洋时间周三上午9点,我们将发布下一期播客和博客。
*特别感谢John Roderick为我们提供了令人难以置信的播客音乐!
