Skip to content

ONHEXGROUP

اخبار دنیای امنیت سایبری

  • اخبار
    • آسیب پذیری امنیتی
    • آنالیز بدافزار
    • کنفرانس ،دوره ، وبینار ، لایو ، CTF
    • بازیگران تهدید
    • توسعه اکسپلویت
    • افشای اطلاعات
    • باگ بانتی
    • تیم آبی
    • تیم قرمز
    • امنیت وب
  • دوره های آموزشی
    • دوره رایگان مهندسی معکوس نرم افزار
  • لیست های ویژه
    • موتورهای جستجو برای امنیت سایبری
    • کاتالوگ KEV آژانس CISA
    • آسیب پذیری های وردپرس
      • آسیب پذیری پلاگین ها
      • آسیب پذیری های هسته
      • آسیب پذیری تم ها
    • محصولات خارج از پشتیبانی مایکروسافت
      • محصولات مایکروسافتی که در سال 2022 پشتیبانی نمیشن
      • محصولات مایکروسافتی که در سال 2023 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2024 پشتیبانی نمیشن
      • لیست محصولات مایکروسافتی که در سال 2025 پشتیبانی نمیشن
    • معرفی فیلم ها و سریالهای مرتبط با هک و امنیت
  • آموزش های ویدیویی
  • انتشارات
    • مجله
    • مقالات
    • پادکست
  • پروژه ها
    • ماشین آسیب پذیر
      • وردپرس آسیب پذیر
  • حمایت مالی ( Donate)
  • تماس با ما
 
  • Home
  • اخبار
  • آنالیز بدافزار
  • اخبار
  • بازیگران تهدید

سرورهای وب هدف بدافزار GoBruteforcer

On اسفند 22, 1401فروردین 28, 1402
seyyid
Share
زمان مطالعه: 5 دقیقه

محققای Palo Alto Networks یه بدافزاری رو کشف کردن که در زبان Golang توسعه داده شده و سرورهای وب ، بخصوص اونایی که سرویس های phpMyAdmin و MySQL و FTP و Postgres روشون در حال اجراست ، آلوده میکنه.

زبان برنامه نویسی Go ، یه زبان برنامه نویسی جدیدی هستش که در بین بدافزار نویسها محبوب شده. این زبان برای توسعه بدافزارهای مختلف از جمله باج افزارها ، stealerها ، RATها قابلیت های جالبی رو ارائه میده. همچنین بات نت های مبتنی بر این زبان مورد توجه بازیگران تهدید قرار گرفته.

بدافزار GoBruteforcer یه بلاک CIDR رو برای حمله انتخاب میکنه و تمام IP های موجود در اون رو اسکن میکنه. توسعه دهنده با این ترفند امکان اسکن طیف وسیعی از IPها رو در یه شبکه داره.

 

 

وقتی یه میزبان پیدا شد، بدافزار از طریق brute force ، سعی میکنه به سرور دسترسی پیدا کنه. اگه دسترسی موفقیت آمیز باشه یه IRC bot یا وب شل PHP روش نصب میکنه.

شکل زیر نمای کلی این بات نت رو مشخص میکنه :

 

GoBruteforcer flow

 

شکل زیر هم نشون دهنده فایل cache_init هستش که همون بدافزار GoBruteforcer هستش :

 

GoBruteforcer sample

 

با توجه به اینکه سرورهای *nix برای میزبانی محبوب هستن، این بدافزار هم عمدتا این سرورهارو هدف قرار میده و روی معماریهای x86 و x64 و ARM قابل اجراست.

بدافزار با upx پک شده و بعد از اینکه اونو آنپک کردن به یه ماژول مولتی اسکن رسیدن:

 

GoBruteforcer multiscan

 

همونطور که قبلا گفته شد، روی هر IP برای سرویس های phpMyAdmin و MySQL و FTP و Postgres شروع به اسکن میکنه که شکل زیر نشون دهنده این موضوع هستش:

 

gobruteforcer scan

 

در داخل هر ماژول هم اول چک میکنه که آیا پورت مربوط به هر سرویس بازه یا نه. برای این منظور هم از ماژول اسکن پورت استفاده میکنه :

gobruteforcer portscan

 

سرویس PhpMyadmin

برای سرویس PhpMyadmin ابتدا بررسی میکنه که پورت 80 بازه یا نه، اگه باز بود بدافزار از طریق brute force اقدام به لاگین و دسترسی به سرور میکنه. این کار رو هم از طریق یسری اعتبارنامه هاردکد شده داخل خودش انجام میده.

 

credentials

اگه ورود موفقیت آمیز باشه، بدافزار یه IRC bot رو در سرور مستقر و اجرا میکنه. در شکل زیر فایلهای fb5 و ab5 همون IRC bot هستن که برای معماری x86_64 و ARM  کامپایل شدن.

 

GoBruteforcer-IRC-bot-x86

 

GoBruteforcer-IRC-bot-arm

 

اگه همه چیز اوکی باشه، بدافزار از طریق IRC bot اقدام به ارتباط با C2 میکنه :

 

GoBruteforcer c2

 

IRC bot همچنین برای پرسیست خودش در corn ثبت میکنه :

 

gobruteforcer-IRC-bot

 

سرویس های MySQL  و Postgres

برای سرویس های MySQL  و Postgres ، در ابتدا بررسی میکنه که پورتهای 3306  و 5432  بازه یا نه. اگه موردی پیدا کرد که پورتش باز بود، با نام کاربری و پسورد خاصی دیتابیس هاست رو پینگ میکنه و بعدش ماژول PostResult رو اجرا میکنه.

 

Postgres-ping-GoBruteforcer

 

MySql-ping-GoBruteforcer

 

سرویس FTP :

برای سرویس FTP هم ابدا بررسی میکنه که پورت 21 بازه یا نه و اگه موردی رو پیدا کنه ،با استفاده از کتابخونه goftp که یه پکیج کلاینت FTP برای Go هستش، اقدام به احراز هویت میکنه.

 

ftp gobruteforcer

 

اگه موردی اوکی بشه، ماژول PostResult رو اجرا میکنه.

 

ماژول PostResult و وب شل:

این ماژول PostResult که بعد از هربار اسکن سرویس فراخوانی میشه، داخلش یه لینک هست :

 

GoBruteforcer-PostResult

 

محققا در سرورهای قربانی ها یه وب شل با نام x هم مشاهده کردن (http[:]//victim-ip/x) که شبیه فایل pst.php در http[:]//5.253.[.]84[.]159 هستش. این وب شل قابلیت reverse shell و bind shell داره.

 

GoBruteforcer-webshell

 

همچنین وب شل قابلیت ایجاد Packet crafting رو داره که به مهاجم این امکان رو میده تا شناخت خوبی از شبکه بدست بیاره :

 

GoBruteforcer-Packet-crafting

 

محققا یه نمونه قدیمی از این بدافزار رو هم پیدا کردن که فقط phpMyAdmin رو هدف قرار میداده. نمونه چند ماه پیش در VT آپلود شده که همونطور که در شکل زیر میبینید ، هیچ آنتی ویروسی اونو شناسایی نمیکنه. این موارد نشون دهنده اینه که احتمالا بدافزار همچنان در حال توسعه و رشد هستش.

 

GoBruteforcer vt

 

نمونه بدافزار :

نسخه قدیمی این بدافزار میتونید از اینجا دانلود کنید.

 

IoCهای گزارش :

Hashes

de7994277a81cf48f575f7245ec782c82452bb928a55c7fae11c2702cc308b8b Web shell
602129f00bb002f07db07affa78d46f67bd0b2c8fb0867ea2da5fc3e73dd2665 Web shell
acc705210814ff5156957c028a8d6544deaca0555156504087fdc61f015d6834 Older version of GoBruteforcer
426b573363277554c7c8a04da524ddbf57c5ff570ea23017bdc25d0c7fd80218 IRC bot(x86)
726ccd223a1cfb60fc6c3b48ea3dbf057da918efac5acf620cd026ee38fb0044 IRC bot(ARM)
526767fbb26c911601371745d603885b75deabcc18261ed2d5a509d58f95d28e GoBruteforcer (x86_64)
dd3555025957cd51cd048d920027a0ff2d5501bc85792529217d54086e9351c2 GoBruteforcer (x86_64)
df7dc0fe7e90a2414ac188c55d06ad3882cfc7394869c9ffa549fb1ddb304919 GoBruteforcer (x86_64)
ebe11121aafdac5d8f2eecba710ba85efa31617a5eb825ba2e89e23379b26b84 GoBruteforcer (x86_64)
5548935e7c6cf3b38240a0579cac36906e9883a1ec5e85335609e9e2062588c5 GoBruteforcer ARM(64-bit)
5627b138bc857081d2251edd7eb3b68cbd58dfff2f51b7cd34c893fffff2cfab GoBruteforcer ARM(64-bit)
5c1d3fb43e9e35b835e62e05a7b97ed66ab132eab35bfc18ce543e8f58ccf5e2 GoBruteforcer ARM(32-bit)
7c27ac0daba19de227fcc467abfcdefa99426c768a3601b1b181e9741717665b GoBruteforcer (x86)

URL and IP

  • 5.253[.]84[.]159/x
  • fi[.]warmachine[.]su

 

 

منبع

 

اشتراک در شبکه های اجتماعی :

Facebook
Twitter
Pinterest
LinkedIn
In آنالیز بدافزار اخبار بازیگران تهدیدIn brute force , GoBruteforcer , Golang , IRC bot , MySQL , Packet crafting , phpmyadmin , Postgres , PostResult , upx

راهبری نوشته

محققین امنیتی هدف هکرهای کره شمالی
نسخه جدید کالی منتشر شد

دیدگاهتان را بنویسید لغو پاسخ

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

دسته‌ها

  • Osint
  • آسیب پذیری امنیتی
  • آموزش های ویدیویی
  • آنالیز بدافزار
  • اخبار
  • افشای اطلاعات
  • امنیت وب
  • انتشارات
  • اینترنت اشیاء
  • بازیگران تهدید
  • باگ بانتی
  • پادکست
  • پروژه ها
  • توسعه اکسپلویت
  • تیم آبی
  • تیم قرمز
  • دوره های آموزشی
  • فازینگ
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
  • لیست های ویژه
  • ماشین آسیب پذیر
  • مجله
  • مقالات
  • مهندسی معکوس نرم افزار

پست های مرتبط

  • آسیب پذیری امنیتی
  • اخبار
  • امنیت وب
  • توسعه اکسپلویت
  • مقالات
seyyid
On بهمن 17, 1402بهمن 17, 1402

آنالیز و اکسپلویت CVE-2024-23897 و CVE-2024-23898 در جنکینز

  • Osint
  • اخبار
  • افشای اطلاعات
  • بازیگران تهدید
seyyid
On بهمن 8, 1402

محکومیت 64 ماهه برای یکی از توسعه دهندگان Trickbot

  • آسیب پذیری امنیتی
  • اخبار
seyyid
On تیر 12, 1402تیر 12, 1402

سه گانه MOVEit Transfer – قسمت اول : آسیب پذیریها

  • آسیب پذیری امنیتی
  • اخبار
  • توسعه اکسپلویت
  • کنفرانس ،دوره ، وبینار ، لایو ، CTF
seyyid
On اردیبهشت 5, 1402اردیبهشت 5, 1402

کنفرانس امنیت تهاجمی Typhooncon

درباره ما

بعد از چندین سال فعالیت تو حوزه امنیت سایبری و تولید محتوا در شبکه های اجتماعی ، بالاخره تصمیم گرفتیم تا یه سایت راه اندازی کنیم و مطالب رو ساده تر ، در یک محیط منسجم و طبقه بندی شده به دست مخاطب برسونیم. امیدوارم که قدمی در راستای رشد امنیت سایبری کشورمون برداشته باشیم.

تگ ها

0day APT command injection Deserialization of Untrusted Data Directory Traversal FBI Fortinet Heap buffer overflow integer overflow kali LockBit Memory Corruption nuclei Off By One Security out-of-bounds write Out of bounds read Patch Tuesday PWN2OWN Stack Buffer overflow type confusion use after free vulnerable wordpress XSS ZDI vulnerability آموزش اکسپلویت نویسی ارز دیجیتال اندروید اپل اکسپلویت باج افزار تلگرام زیرودی سیسکو فارنزیک فورتی نت فیشینگ لاک بیت مایکروسافت هوش مصنوعی وردپرس وردپرس آسیب پذیر ویندوز پلاگین کروم گوگل

شبکه های اجتماعی

    • Instagram
    • Telegram
    • Twitter
    • GitHub
    • YouTube
    • LinkedIn
      کپی مطالب با ذکر منبع بلامانع است | 1401-1404