freebuf
本文来源:360Netlab
今年 2 月 1 日,我们详细分析了一个瞄准数据库服务器的挖矿僵尸网络 DDG.Mining.Botnet 。
近期,我们注意到该家族发布了新的版本 3011 ,在该更新版本部署的过程中,引发了端口 7379 及相关端口上的扫描流量异常。该版本中启用了新的钱包,其在 2 个矿池里累计收益已经超过 1,419 枚 XMR。最后值得注意的是,该版本可能还处于测试阶段,或者只是一个过渡版本。
DDG 3011 版本的概要特征如下:
- 启用了新的 XMR 钱包;
- 挖矿程序变更为 2t3ik ,但命名规则没有变化,仍然是钱包地址的末尾 5 位;
- 启用多个矿池,这应该被理解成为一种失效保护机制;
- 样本的编写语言由旧的 Go1.9.2 换成了 Go1.10,并在代码结构、第三方库和自身功能方面进行较大改动;
- 启用了云端配置文件,可以由云端配置文件指定要扫描的服务端口、矿机程序下载链接、本地样本更新数据等等;
- 相同的持久驻留机制:将 i.sh 脚本写入到 Crontab 中定期更新、运行。
7379 及相关端口上的扫描流量异常
近期,我们的
转载请注明来自网盾网络安全培训,本文标题:《DDG.Mining.Botnet 近期活动分析》
- 上一篇: 从外部入侵公司:外部渗透测试
- 下一篇: 小白学安全第三篇之SQL注入
