USDT场外交易网

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

0x01 靠山信息

克日,我们监测到Mirai 僵尸网络实验行使CVE-2020-9020破绽在公网举行攻击的流动,该破绽是Iteris的Vantage Velocity版本2.3.1、2.4.2和3.0中的远程下令执行破绽。作为行驶数据丈量系统,Vantage Velocity可捕捉大量车辆的行驶数据。若是装备存在破绽,它将受到攻击者的控制,攻击者随后可以泄露敏感数据或举行进一步的攻击,例如漫衍式拒绝服务(DDoS)攻击。由于该破绽的攻击庞大度较低,具有严重的平安影响,严重品级CVSS 3.1评分为9.8。

0x02 在野行使

存在破绽的装备缺少对/cgi-bin/timeconfig.py的htmlNtpServer参数的检查,从而使攻击者可以通过全心制作的HTTP请求注入下令,并在受害装备上执行下令。

如图1所示,该破绽行使系统下令wget实验从服务器198 [。] 23 [。] 238 [。] 203下载文件arm7,然后更改下载文件的接见权限以确保可以以当前用户权限执行。

图1.在野行使request数据包。

凭证VirusTotal的情报,服务器198 [。] 23 [。] 238 [。] 203最早在2021年2月17日被平安社区发现(提供恶意Shell剧本)。在撰写本文时,服务器仍可接见,它基于Apache2 HTTP服务器在端口80上提供HTTP服务,该服务提供恶意软件下载服务。它还打开了端口5684,该端口可用作C2。

凭证我们的观察,在服务器上发现了9个具有相似功效但平台兼容性差其余木马文件。他们能够跨多种主流架构运行和攻击装备。因此,当攻击者更改针对其他目的系统的攻击时,可以很容易地再次行使这些恶意木马文件。

在IoCs部门中列出了所有九个样本的信息。

凭证我们对行为和模式的深入研究,我们以为托管在服务器198 [。] 23 [。] 238 [。] 203上的恶意软件样本极有可能是Mirai僵尸网络Satori的变体。

执行后,它将新闻“ hello friend :)”打印到控制台。然后,发生四个子历程并将其与主历程星散。

考察到该恶意软件扫描了随机主机的23端口(如图2所示),并在端口23打开时实验使用其密码字典登录。

,

USDT场外交易平台

U交所(www.payusdt.vip)是使用TRC-20协议的Usdt官方交易所,开放USDT帐号注册、usdt小额交易、usdt线下现金交易、usdt实名不实名交易、usdt场外担保交易的平台。免费提供场外usdt承兑、低价usdt渠道、Usdt提币免手续费、Usdt交易免手续费。U交所开放usdt otc API接口、支付回调等接口。

,

图2. Satori端口扫描。

图3.使用XOR算法和密钥0x07加密的密码。

使用XOR算法对密码举行加密,单字节密钥为0x07,如图3所示。

在受害者和198 [。] 23 [。] 238 [。] 203:5684之间还考察到SSL上的加密C2通讯,如图4所示。

图4.C2服务器的流量。

该恶意软件还包罗多个操作系统下令,如图5所示。这些下令用于从远程C2服务器下载并执行恶意有用负载,以在新的受害装备上部署reboot文件。

图5.预界说的OS下令。

0x03 IoCs

51[.]81[.]24[.]157198[.]23[.]238[.]203

本文翻译自:https://unit42.paloaltonetworks.com/satori-mirai-botnet-variant-targeting-vantage-velocity-field-unit-rce-vulnerability/: Allbet Gaming声明:该文看法仅代表作者自己,与本平台无关。转载请注明:低价usdt渠道(www.payusdt.vip):Mirai 僵尸网络将Vantage Velocity下令注入破绽武器化
发布评论

分享到:

trc20交易平台(www.payusdt.vip):中国竞彩建议:南安普顿 +0.75 !!!
你是第一个吃螃蟹的人
发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。