Neutrino botnet

🔥Мы профессиональная команда, которая на рынке работает уже более 5 лет.

У нас лучший товар, который вы когда-либо пробовали!

Neutrino botnet

______________

✅ ️Наши контакты (Telegram):✅ ️

>>>НАПИСАТЬ ОПЕРАТОРУ В ТЕЛЕГРАМ (ЖМИ СЮДА)<<<

✅ ️ ▲ ✅ ▲ ️✅ ▲ ️✅ ▲ ️✅ ▲ ✅ ️

_______________

ВНИМАНИЕ! ВАЖНО!🔥🔥🔥

В Телеграм переходить только по ССЫЛКЕ что ВЫШЕ, в поиске НАС НЕТ там только фейки !!!

_______________

Neutrino botnet

Как зайти на onion Гидру

Neutrino botnet

Альметьевск купить закладку MDMA Pills

Отзывы про Анаша, план, гаш Самаре

Neutrino botnet

Абаза купить закладку Триптамины

С августа года система поиска следов компрометации в сетевом трафике PT Network Attack Discovery и ловушки-ханипоты компании Positive Technologies начали фиксировать массовые сканирования систем phpMyAdmin. Сканирования сопровождались перебором разных веб-шеллов оболочек с командой die md5 Ch3ck1ng. Эти данные стали отправной точкой для крупномасштабного расследования. Эксперты Positive Technologies постепенно раскрыли всю цепочку событий и закончили обнаружением большой вредоносной кампании, продолжавшейся с года. Специально для Anti-Malware. Зараженные боты со всего мира случайным образом сканируют IP-адреса в интернете. Рисунок 2. Запрос на веб-шелл с командой. Если в ответ вернется корректный MD5, значит, сервер заражен. Такие сканирования были неоднократно замечены и описаны летом года другими исследователями. Но никто не попытался выяснить их цели и источники. Для ответов на наши вопросы мы подготовили ханипоты, которые изображали уязвимые серверы. Это были панели phpMyAdmin c учетной записью root:root и веб-шеллы, которые отвечали корректным MD5-хешем. Например, это — хеш 6c87bcdfe0a7c8ea для примера из скриншота выше. Спустя какое-то время наши ханипоты принесли первые результаты. На ханипот с веб-шеллом стали приходить команды с полезной нагрузкой. Например, сохранить новый шелл с именем images. После декодирования baseкоманд становится ясно, что первые два запроса узнают конфигурацию машины, а третий исполняет PowerShell-скрипт для загрузки внешних компонентов. Как правило, внешний компонент — это майнер криптовалюты Monero. На Windows он устанавливается с именем lsass. Его версии могут различаться: некоторые из них работают без аргументов, и адрес кошелька зашит внутри. Видимо, это было сделано для уменьшения рисков обнаружения. Он скачивается с сервера и запускается другим PowerShell-скриптом. В свою очередь, код библиотеки исполняется в памяти, то есть она не хранится на диске. DLL-библиотека ответственна за дальнейшее распространение вредоноса и пополнение ботнета. Подобный случай уже был описан исследователями из Minerva Labs в марте года как вредонос Ghostminer. Но он происходит от Neutrino, который существует с года. Другое название Neutrino — Kasidet, и ранее он распространялся через почтовые рассылки и различные наборы эксплоитов. Функциональность его менялась, но протокол общения с командным сервером и другие «артефакты» оставались неизменными. Девять отчетов о Neutrino с года можно найти на Malpedia. Детали последнего отчета Minerva Labs позволили нам отследить изменения в способах распространения этого вредоноса. Именно второй компонент представляет для нас интерес, поскольку он ищет новые хосты для заражения. Это делается для настройки зараженного хоста на максимально быстрое сканирование:. Затем он связывается с командным сервером С2 , который управляет ходом сканирования на машине. Командный сервер отдает команду для проверки случайных серверов в интернете на одну из уязвимостей. Список проверок в версии Neutrino от октября года был весьма обширным:. Первые восемь модулей в списке появились с момента публикации отчета Minerva Labs. Последний пункт в этом списке, поиск веб-шеллов, как раз отвечает за те сканирования, с которых началось наше расследование. Список включал в себя адресов с уникальными параметрами. Кроме сканирования уязвимостей Neutrino умеет выполнять произвольные команды и делать скриншоты. А в версии от декабря года авторы добавили еще три модуля:. За время изучения этого ботнета мы несколько раз видели, как меняется его поведение. Первые сканирования содержали проверку по слову Ch3ck1ng, но в феврале вместо него использовалось слово F3bru4ry. Соответствующие строки статично хранятся внутри модуля Neutrino. Это говорит об обновлении вредоносной программы — например, обновился адрес C2 или авторы добавили новый модуль. Бот Neutrino и командный сервер обмениваются baseданными. Заголовки Cookie и Referer всегда одинаковы и служат для авторизации. В самом начале бот проверяет соединение с C2 простой парой сообщений: Enter — Success. Затем он делает «отстук» — передает на C2 краткую информацию о системе. Такой запрос изображен на скриншоте выше. В качестве уникального идентификатора хоста используется серийный номер тома с системным разделом. В ответ от C2 приходит новое задание для хоста; это может быть поиск новых уязвимых хостов или исполнение команд. Если Neutrino нашел уязвимый сервер — например, подобрал пароль от панели phpMyAdmin, — он сообщает об этом на C2. Данные передаются в кодировке base В отличие от модуля Neutrino, майнер хранится на диске и стартует автоматически. Для работы Neutrino и майнер делают записи в служебные поля того же пространства — например, PID процессов и номер версии. Их мы опишем далее в статье. Пример скрипта EnCommand можно изучить на pastebin. Первые транзакции по ним начались с декабря года. В то же время часть хостов захватили и другие вредоносные кампании. Этот адрес также фигурирует в отчете PaloAlto под названием The Rise of the Cryptocurrency Miners, вышедшем в июне года. В отчете говорится о всплеске криптомайнеров. На июнь года их суммарная прибыль оценивалась в млн долл. Поскольку сам бот Neutrino не эксплуатирует уязвимости, а только собирает список серверов, процесс заражения остался неясным. Приманка из сервера phpMyAdmin с дефолтной учетной записью поймала и это. Мы вживую наблюдали, как наш сервер подвергся атаке и был успешно заражен. Авторы написали автоматический скрипт для взлома phpMyAdmin. Он пытается использовать один из двух механизмов:. Первый механизм известен давно и, как правило, не работает из-за опции --secure-file-priv, а использование второго мы видим впервые. Обычно MySQL не позволяет перенаправлять лог-файл за пределы переменной datadir, но это оказалось возможным в инсталляции из пакета phpStudy. Именно благодаря второму способу Neutrino стал массовым на серверах phpMyAdmin. Содержимое веб-шелла будет разным для первого и второго способа заражения. К нашей радости, лог содержит подлинные даты. Их можно найти в ответах от некоторых шеллов images. Это важно, потому что среди рассылаемых команд бывают и такие:. Фактически эта команда меняет дату последнего изменения файла на 16 июля года. Вероятно, это — попытка затруднить анализ кампании Neutrino, которая не увенчалась успехом. Отследить даты создания стало возможным благодаря содержимому некоторых шеллов. Удивительно то, что мы поймали запись не только шелла images. Заражение имело схожий механизм, но протекало иначе. Вот отличия:. Различия в способах заражения и перебор шеллов в самом Neutrino говорят о существовании двух параллельных вредоносных кампаний. Neutrino занимается майнингом криптовалюты, а вторая направлена на вредоносные загрузки. Проанализировав даты создания шеллов на зараженных хостах, мы точно выяснили, кто был первым. Первые шеллы с говорящим названием test. Neutrino начал заражать серверы phpMyAdmin с января года через уязвимости или шеллы конкурента. Пик Neutrino пришелся на лето года. На графике ниже представлено распределение дат создания шеллов Neutrino и конкурента. Рисунок 7. Активность кампании Neutrino и кампании конкурента. Neutrino появился заметно позже. Как оказалось, ботнет Neutrino имеет четкую организационную структуру: пока одни зараженные хосты заняты майнингом криптовалюты и сканируют интернет, другие служат прокси-серверами. Для проксирования используется утилита Gost на порте , а шелл на таких хостах называется image. Таких прокси-хостов немного. Через них имплантируют images. Частота рассылки команд достигает уникальных IP-адресов в час. Коннекты к порту прокси-сервера в большинстве случаев приходят из подсетей Chinanet Henan Province Network 1. Теперь, когда мы знаем структуру этих вредоносных кампаний, мы можем просканировать интернет в поисках их шеллов и оценить размер ботнета. Как мы помним, в корневой WWW-каталог имплантируется веб-шелл images. Его наличие и HTTP-ответ однозначно говорят о заражении. Таким образом, чтобы оценить размер ботнета, нам необходимо послать запрос к images. Готовый список серверов с портом 80 можно найти на scans. Censys сканируют интернет и обновляют список каждую неделю. Около серверов ответили положительно — и это лишь часть ботнета. Наши ханипоты регулярно сканировались с новых IP-адресов, которых не было среди обнаруженных. Что это за серверы? Shodan помогает ответить на этот вопрос. Рисунок 8. Отклик сервера. Обратите внимание на заголовок Server: Apache работает на системе Windows. Аномально высокое число Windows-систем в нашем случае должно быть вызвано специфическим программным обеспечением. Так и оказалось, некоторые из серверов отдают следующую стартовую страницу. Кроме того, она имеет несколько конфигураций для Windows и Linux. Последняя версия phpStudy с официального сайта все так же уязвима для перенаправления лог-файла, в чем можно убедиться самостоятельно. Уязвимость в phpStudy — это не единственный крупный источник ботов. Во время сканирования мы нашли более 20 серверов, уязвимых для CVE Это тоже уязвимость в phpMyAdmin, но связана она с конфигурационным скриптом setup. Ботнет рассылает на них POST-запросы с вредоносными конфигурациями. Злоумышленники нашли применение и тем панелям phpMyAdmin, которые защищены от описанных уязвимостей, но имеют слабые пароли. Это распространенный способ мошенничества: преступники экспортируют базу к себе на диск, удаляют ее из PMA и оставляют послание. В году мы видели очередной виток в развитии Neutrino. Если раньше этот вредонос распространялся через почтовые вложения и наборы эксплоитов, то год он начал в роли ботнета. Сейчас Neutrino входит в тройку лидеров по числу запросов на наши ханипоты. Это — брутфорсы администраторских панелей, перебор шеллов и эксплуатация уязвимостей. За счет сканирования более десяти уязвимостей и шеллов конкурентов Neutrino собрал десятки тысяч ботов. И большая часть из них — системы Windows со средой phpStudy, которые он использует для майнинга криптовалюты Monero. Его код регулярно дополняется проверками на новые эксплойты. В тот же день, когда был опубликован эксплойт для ThinkPHP bit. В то же время он ведет себя осторожно: сначала находит уязвимые серверы и спустя время выборочно заражает их шеллом images. Для сокрытия он использует ряд техник:. Обнаружить его присутствие мы можем по специфичным сетевым запросам. В Positive Technologies мы занимаемся разработкой детектов для сетевых атак. Эти детекты похожи на сигнатуры для антивирусов, но проверяют сетевой трафик. Мы начали эту статью с того, как PT Network Attack Discovery обнаружил странные запросы по косвенным признакам. Это были брутфорс phpMyAdmin и перебор шеллов. Хотя на примере выше бот Neutrino остался ни с чем, наши сигнатуры обнаружат эксплуатацию любой уязвимости или заражение сервера. Мы опубликовали некоторые из наших сигнатур на GitHub. Для защиты серверов от заражения Neutrino мы рекомендуем проверить пароль учетной записи root в phpMyAdmin и убедиться, что сервисы имеют необходимые патчи и последние обновления. Напоминаем, Neutrino регулярно пополняется новыми эксплоитами. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации. Все права защищены. Перейти к основному содержанию. Главная » Аналитика » Анализ угроз. Скачайте отчет о ключевых преимуществах сканера уязвимостей Tenable. Скачать отчет ». Вверх Проголосовало: Positive Technologies. Расследование инцидентов EndPoint Forensics. Вредоносные программы. Введение Что внутри? Как Neutrino ищет новые серверы 2. Общение с C2 2. Майнер My php, your admin 3. Как заражают phpMyAdmin 3. Вторая вредоносная кампания 3. Структура ботнета Сканируем интернет 4. Состав ботнета Выводы Введение Зараженные боты со всего мира случайным образом сканируют IP-адреса в интернете. Рисунок 1. При обнаружении панели он начинал перебирать пароли учетной записи root. Словарь насчитывал около паролей, и первым шел вариант по умолчанию — root. Далее, после успешного подбора пароля, не происходило ничего. Бот не эксплуатировал уязвимости и не исполнял код другими способами. Кроме phpMyAdmin, он перебирал пути до веб-шеллов, также по списку, и пытался исполнять простые PHP-команды. Список содержал имен шеллов, и этот этап вызывал у нас больше всего вопросов. Если в ответ вернется корректный MD5, значит, сервер заражен Такие сканирования были неоднократно замечены и описаны летом года другими исследователями. Что внутри? Это делается для настройки зараженного хоста на максимально быстрое сканирование: Рисунок 3. Участок кода, меняющий параметр TCP-стека Затем он связывается с командным сервером С2 , который управляет ходом сканирования на машине. Поиск потенциально уязвимых для CVE серверов phpMyAdmin ошибка в конфигурационном скрипте setup. Поиск серверов IIS 6. Поиск и эксплуатация нашумевшей дыры в Apache Struts2. Поиск открытых узлов Ethereum. В июне года это позволило злоумышленникам похитить 20 млн долларов bit. Поиск phpMyAdmin без авторизации. Брутфорс phpMyAdmin с авторизацией. Большая логика по поиску перечня PHP-веб-шеллов. Например: wuwu Участок кода, ответственный за сканирование веб-шеллов Кроме сканирования уязвимостей Neutrino умеет выполнять произвольные команды и делать скриншоты. А в версии от декабря года авторы добавили еще три модуля: поиск открытых серверов Hadoop, брутфорс авторизации для серверов TomCat, поиск JSP-шеллов из списка. Общение с C2 Бот Neutrino и командный сервер обмениваются baseданными. Рисунок 5. Обмен командами между ботом Neutrino и С2-сервером В самом начале бот проверяет соединение с C2 простой парой сообщений: Enter — Success. Например: Майнер В отличие от модуля Neutrino, майнер хранится на диске и стартует автоматически. Рисунок 6. Примеры записей Скрипт из поля EnCommand запускает майнер EnMiner в несколько этапов: Функция KillFake убивает процессы, имитирующие стандартные например, explorer. KillService останавливает и удаляет сервисы, чьи имена удовлетворяют заданной маске. Killer удаляет сервисы, задачи Tasks и процессы по списку имен или аргументам запуска. Функция Scanner проверяет содержимое каждого запущенного процесса и удаляет его с диска, если находит внутри характерные для криптомайнеров строки. Майнер lsass. My php, your admin Поскольку сам бот Neutrino не эксплуатирует уязвимости, а только собирает список серверов, процесс заражения остался неясным. Учетная запись была подобрана ранее во время сканирования. Небольшая разведка. Атакующий запрашивает скрипты phpinfo по разным путям. И злоумышленник делает следующие запросы: Они сохраняют содержимое select на диск. На случай ошибки далее идут следующие запросы: Наконец, знакомые нам запросы. Так выглядит ответ веб-шелла, если он был создан вторым способом — перенаправлением MySQL-лога: К нашей радости, лог содержит подлинные даты. Вторая вредоносная кампания Удивительно то, что мы поймали запись не только шелла images. Вот отличия: SQL-запросы посылались не одновременно, а по одному. Содержимое веб-шеллов совершенно разное; wuwu Полезная нагрузка тоже различается. Авторы wuwu11 и других имплантировали Trojan. Downloader для загрузки вредоносных программ по цепочке, но не майнер. Neutrino появился заметно позже Структура ботнета Как оказалось, ботнет Neutrino имеет четкую организационную структуру: пока одни зараженные хосты заняты майнингом криптовалюты и сканируют интернет, другие служат прокси-серверами. Сканируем интернет Как мы помним, в корневой WWW-каталог имплантируется веб-шелл images. Состав ботнета Что это за серверы? Рисунок 9. Распространенная стартовая страница — phpStudy phpStudy — это интегрированная среда для обучения, популярная не только в Китае. Рисунок Сообщение от злоумышленников Скорее всего, это никак не связано с кампанией Neutrino. И в заключение — карта заражений Neutrino. Карта заражений Neutrino Выводы В году мы видели очередной виток в развитии Neutrino. Для сокрытия он использует ряд техник: исполнение кода из памяти, многоступенчатую проверку шелла перед исполнением кода, размещение C2 на зараженных серверах. Полезные ссылки:. Практический разбор фишинга. Как злоумышленники воруют данные с помощью социальной инженерии. Чем опасен криптоджекинг и как предотвратить угрозу. Подписывайтесь на канал 'Anti-Malware' в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности. Автономное расследование инцидентов для SOC с помощью решени Обзор мирового и российского рынка SIEM-систем.

Купить Хмурый Сестрорецк

Neutrino botnet

Купить Гарик Нижний Ломов