【牛逼】国内黑产大佬现身,运营商级别劫持SoftEther V-p-N

之前一直不知道是什么导致的挖矿,直接杀毒就没事了,然后后来干脆开了个虚拟机,换了系统,想这次应该不会挖了吧,结果依然挖矿,

深入调查,这次不杀毒,看看是哪个软件漏洞导致的

虚拟机只安装了SoftEther V-p-N这一个,然后再想想,应该不会吧,这个是官网下的

机智的我马上想到了dns劫持,因为之前某著名脚本就是被dns劫持到XX

顺藤摸瓜,查到softether中心服务器的多个域名存在泛域名污染,不是一般的阻断,而是会重定向到一个ip上

通过这个ip下载到C盘隐藏目录恶意软件,再通过恶意软件下载挖矿程序,自动修改host重定向到ip kr,并调用powershell.exe

不说了,我不敢举报。。。

https://www.hostloc.com/forum.php?mod=viewthread&tid=667206&page=1#pid8083693

https://www.hostloc.com/thread-663326-1-1.html

更新:黑产大佬主机ip:117.50.14.196,host虚假域名:ZuWGeA1XN.kr

4月1日早上更新:
劫持的不是softether-download.com,官网下载没有问题,而是softether安装后后台会自动连接他们的镜像服务器获取最新的节点ip列表,因此镜像服务器包含的某个.kr域名被泛域名劫持,具体的没有进一步细看,总之是获取列表地址所用的一个kr域名被劫持,因为kr域名存在多个,应该是存在泛域名的劫持,你可以抓包看看获取节点列表的那个文件,softether会把这个文件当作节点列表自动加载,然后恶意脚本就混在这里面借助powershell得以实施,实测没有powershell的系统不会中毒挖矿。

4月1日中午更新:

坐标魔都,电信宽带,不确定其他地方是不是存在同样的劫持挖矿。

10 对 “【牛逼】国内黑产大佬现身,运营商级别劫持SoftEther V-p-N”的想法;

  1. 【牛逼】国内黑产大佬现身,运营商级别劫持SoftEther V-p-N

    之前一直不知道是什么导致的挖矿,直接杀毒就没事了,然后后来干脆开了个虚拟机,换了系统,想这次应该不会挖了吧,结果依然挖矿,

    深入调查,这次不杀毒,看看是哪个软件漏洞导致的

    虚拟机只安装了SoftEther V-p-N这一个,然后再想想,应该不会吧,这个是官网下的

    机智的我马上想到了dns劫持,因为之前某著名脚本就是被dns劫持到XX

    顺藤摸瓜,查到softether中心服务器的多个域名存在泛域名污染,不是一般的阻断,而是会重定向到一个ip上

    通过这个ip下载到C盘隐藏目录恶意软件,再通过恶意软件下载挖矿程序,自动修改host重定向到ip kr,并调用powershell.exe

    不说了,我不敢举报。。。

    https://www.hostloc.com/forum.php?mod=viewthread&tid=667206&page=1#pid8083693

    https://www.hostloc.com/thread-663326-1-1.html

    更新:黑产大佬主机ip:117.50.14.196,host虚假域名:ZuWGeA1XN.kr

    4月1日早上更新:
    劫持的不是softether-download.com,官网下载没有问题,而是softether安装后后台会自动连接他们的镜像服务器获取最新的节点ip列表,因此镜像服务器包含的某个.kr域名被泛域名劫持,具体的没有进一步细看,总之是获取列表地址所用的一个kr域名被劫持,因为kr域名存在多个,应该是存在泛域名的劫持,你可以抓包看看获取节点列表的那个文件,softether会把这个文件当作节点列表自动加载,然后恶意脚本就混在这里面借助powershell得以实施,实测没有powershell的系统不会中毒挖矿。

    4月1日中午更新:

    坐标魔都,电信宽带,不确定其他地方是不是存在同样的劫持挖矿。

  2. Archeb 发表于 2020-4-1 08:03
    SE会自动从官网用HTTP拖文件并且运行?还不验签???
    我粗略看了下se的代码,没有自动更新、下载相关的内 ...

    劫持的不是softether-download.com,softether安装后后台会自动连接他们的镜像服务器,镜像服务器包含的某个.kr域名被泛域名劫持,具体的没有进一步细看,总之是获取列表地址所用的一个kr域名被劫持,因为kr域名存在多个,应该是存在泛域名的劫持,你可以抓包看看获取节点列表的那个文件,softether会把这个文件当作节点列表自动加载,然后恶意脚本就混在这里面借助powershell得以实施,实测没有powershell的系统不会中毒挖矿。

评论被关闭。