大帅锅 大佬有话说 : 2020-3-31 23:51:48
【牛逼】国内黑产大佬现身,运营商级别劫持SoftEther V-p-N
本帖最后由 大帅锅 于 2020-4-1 10:07 编辑
【牛逼】国内黑产大佬现身,运营商级别劫持SoftEther V-p-N
之前一直不知道是什么导致的挖矿,直接杀毒就没事了,然后后来干脆开了个虚拟机,换了系统,想这次应该不会挖了吧,结果依然挖矿,
深入调查,这次不杀毒,看看是哪个软件漏洞导致的
虚拟机只安装了SoftEther V-p-N这一个,然后再想想,应该不会吧,这个是官网下的
机智的我马上想到了dns劫持,因为之前某著名脚本就是被dns劫持到XX
顺藤摸瓜,查到softether中心服务器的多个域名存在泛域名污染,不是一般的阻断,而是会重定向到一个ip上
通过这个ip下载到C盘隐藏目录恶意软件,再通过恶意软件下载挖矿程序,自动修改host重定向到ip kr,并调用powershell.exe
不说了,我不敢举报。。。
https://www.hostloc.com/forum.php?mod=viewthread&tid=667206&page=1#pid8083693
https://www.hostloc.com/thread-663326-1-1.html
更新:黑产大佬主机ip:117.50.14.196,host虚假域名:ZuWGeA1XN.kr
4月1日早上更新:
劫持的不是softether-download.com,官网下载没有问题,而是softether安装后后台会自动连接他们的镜像服务器获取最新的节点ip列表,因此镜像服务器包含的某个.kr域名被泛域名劫持,具体的没有进一步细看,总之是获取列表地址所用的一个kr域名被劫持,因为kr域名存在多个,应该是存在泛域名的劫持,你可以抓包看看获取节点列表的那个文件,softether会把这个文件当作节点列表自动加载,然后恶意脚本就混在这里面借助powershell得以实施,实测没有powershell的系统不会中毒挖矿。
4月1日中午更新:
坐标魔都,电信宽带,不确定其他地方是不是存在同样的劫持挖矿。
大帅锅 大佬有话说 : 2020-4-1 09:00:22
Archeb 大佬有话说 : 2020-4-1 08:03
SE会自动从官网用HTTP拖文件并且运行?还不验签???
我粗略看了下se的代码,没有自动更新、下载相关的内 …
劫持的不是softether-download.com,softether安装后后台会自动连接他们的镜像服务器,镜像服务器包含的某个.kr域名被泛域名劫持,具体的没有进一步细看,总之是获取列表地址所用的一个kr域名被劫持,因为kr域名存在多个,应该是存在泛域名的劫持,你可以抓包看看获取节点列表的那个文件,softether会把这个文件当作节点列表自动加载,然后恶意脚本就混在这里面借助powershell得以实施,实测没有powershell的系统不会中毒挖矿。
Archeb 大佬有话说 : 2020-4-1 08:03:33
本帖最后由 Archeb 于 2020-4-1 08:21 编辑
SE会自动从官网用HTTP拖文件并且运行?还不验签???
我粗略看了下se的代码,没有自动更新、下载相关的内容
楼主提供的信息太少,需要进一步的更多信息
1、SoftEther会从官网用HTTP拖文件并且运行?还不需要你同意确认?这可是相当于木马了….你拿火绒剑之类HIPS给搞个行为记录就行
2、你的DNS是怎么被劫持的?说明一下你服务器的DNS服务器设置,然后wireshark抓个dns查询包看看是抢答还是怎样。因为我这边用国内DNS解析softether-download.com和softether.org都是正常的,我不太清楚se还有别的什么域名
3、检查一下softether的文件是不是每一个数字签名都正常?安装包是不是也有数字签名?
因为我也在很多地方用se,如果有这样的问题是很严重的,所以希望楼主能帮忙
大帅锅 大佬有话说 : 2020-3-31 23:53:31
https://img.meituan.net/csc/1af1f10a9c6f900aa8f213ecc06389c033682.png
一个不知名网友 大佬有话说 : 2020-3-31 23:54:21
你发现了一个惊天大阴谋 哈哈哈
mnihyc 大佬有话说 : 2020-3-31 23:54:43
厉害了mjj :lol:lol:lol
dbug 大佬有话说 : 2020-3-31 23:55:16
厉害
Athony 大佬有话说 : 2020-3-31 23:56:28
这个真的厉害
倚剑听枫 大佬有话说 : 2020-3-31 23:57:30
这告诉我们vp恩还是自建的安全yc008t
b66667777 大佬有话说 : 2020-3-31 23:58:07
深夜围观
fatal 大佬有话说 : 2020-4-1 00:04:35
恭喜破案啊
envoy 大佬有话说 : 2020-4-1 00:07:06
厉害了我的哥, 扶墙也能这样搞:lol