针对 Web 服务器的 Golang 僵尸网络 GoBruteforcer

最新推荐文章于 2023-08-24 16:14:04 发布
最新推荐文章于 2023-08-24 16:14:04 发布
阅读量208 收藏
点赞数
文章标签: 网络安全 web安全 ai 网络 安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60571990/article/details/129627374
版权

研究人员近日发现了一个 Golang 开发恶意软件,并将其命名为 GoBruteforcer。该恶意软件主要针对 Web 服务,特别是 phpMyAdmin、MySQL、FTP 和 Postgres 服务。

简介

Golang 现在越来越来受到攻击者的欢迎,被用于开发个各种各样的恶意软件,包括勒索软件、窃密木马与远控木马等。

GoBruteforcer 就是一种用 Golang 编写的新型僵尸网络,主要针对 Web 服务,特别是 phpMyAdmin、MySQL、FTP 和 Postgres 服务。

GoBruteforcer 会扫描整个 CIDR 块,而不是单个的 IP 地址。发现主机存活后,GoBruteforcer 会通过暴力破解尝试入侵服务器。一旦获取访问权限,GoBruteforcer 就会立刻部署 IRC Bot。并且,留下 PHP WebShell 作为失陷主机的后门。

GoBruteforcer 攻击链

服务器的 /.x/ 目录下的 cache_init 文件,就是被发现植入的 GoBruteforcer 恶意软件。

失陷主机上的恶意软件

GoBruteforcer 恶意软件主要针对类 Unix 平台,支持 x86、x64 与 ARM 架构。

扫描与系统访问

GoBruteforcer 恶意软件样本使用 UPX 加壳,并且针对 CIDR 块内的主机进行扫描。

CIDR 块扫描

对目的 IP 地址来说,恶意软件对其进行扫描 phpMyAdmin、MySQL、FTP 和 Postgres 服务,每种服务都定义了单独的扫描模块。

扫描不同服务的模块

在不同的扫描模块间,会共用端口扫描模块。

端口扫描功能

phpMyAdmin 服务

扫描 phpMyAdmin 服务时,GoBruteforcer 会尝试通过暴力破解入侵服务器。GoBruteforcer 内部携带了各种硬编码的凭据,如下所示:

硬编码凭据列表

IRC Bot

通过 phpMyAdmin 服务成功进入失陷主机后,GoBruteforcer 会进一步部署 IRC Bot。文件 fb5 与 ab5 分别是 x86_64 和 ARM 架构的 IRC Bot,如下所示:

x86 平台的 IRC Bot

ARM 平台的 IRC Bot

GoBruteforcer 恶意软件通过 IRC Bot 启用 C&C 通信,如下所示:

IRC 的 C&C 通信

IRC Bot 也会设置定时任务进行持久化,如下所示:

定时任务持久化

MySQL 与 Postgres 服务

扫描 MySQL 与 Postgres 服务时,GoBruteforcer 检查 3306 端口与 5432 端口是否打开。确认服务开放后,尝试使用各种凭据进行登录,如下所示:

Mysql 登录尝试

Postgres 登录尝试

FTP 服务

确认 FTP 的 21 端口打开后,GoBruteforcer 会尝试使用 goftp 库进行连接尝试,如下所示:

FTP 登录尝试

PostResult 模块与 WebShell

扫描完成后会调用 GoBruteforcer 的 PostResult 模块,其中包含一个硬编码链接如下所示:

硬编码链接地址

进一步分析该 IP 地址的目录,其中发现了名为 x 的 WebShell。该 WebShell 与名为 pst.php 的 PHP 文件相似。这个 WebShell 实际上具备 Reverse Shell 与 Bind Shell 的功能,如下所示:

WebShell 功能

除此之外,WebShell 还提供了一个数据包生成工具。能够根据攻击者的控制生成定制化的数据包,例如主机、端口、超时时间等。攻击者可以利用这个工具,来深入地了解目标网络。

数据包生成工具

旧版本 GoBruteforcer

在研究人员分析 GoBruteforcer 攻击活动的时候,发现了旧版的 GoBruteforcer 样本文件。该版本的 GoBruteforcer 只针对 phpMyAdmin 服务进行攻击,且 VirusTotal 上为零检出。

VirusTotal 检测结果

小黑安全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Web服务和常见的Web服务器
3322855165
08-08 851
一般指的是“网站服务器”,是某种驻留在因特网上的计算机程序,可以向请求终端提供服务,主要功能时存储、处理和传递网页给“客户”,传递内容一般是HTML文档、图像、样式表或脚本等,也可以放置网站文件以供浏览或下载。WEB服务器也称为WWW(Word Wide Web)服务器,核心功能就是提供网页信息浏览服务,严格来说Web服务器只负责处理Http协议请求,发送静态页面的内容。Web服务器功能:提供网上信息浏览服务。...
[golang]-使用k8s-webshell登录pod
爷来辣的博客
03-26 1558
导语: 以防万一后面需要用到 先记录一下。 参考地址 https://github.com/du2016/web-terminal-in-go/tree/master/k8s-webshell git clone https://github.com/du2016/web-terminal-in-go.git cd k8s-webshell nohup go run main.go & k8s-webshell 通过web界面连接k8s容器,需要修改beego config配置,指定kubecon
Xterm+Golang+Websocket+Vue实现的webshell功能,包含操作审计
weixin_42574826的博客
08-24 847
使用xterm.js+socket技术实现一个网页端的webShell功能,完成shell连接操作,并记录用户的操作日志。
golang 某一段IP端口扫描并且尝试ftp弱口令登录
地球流浪猫的博客
03-25 1178
先上githubhttps://github.com/china-muwenbo/goScanPort 使用golang开发的端口扫描程序,ftp弱口令登录程序。程序先对某一段ip地址的所有21端口进行扫描,如果发现21端口开放则使用ftp 弱口令(用户名ftp,密码123456)进行登录。 runtime.GOMAXPROCS(runtime.NumCPU()) maxchan:...
LadonGo实现菜刀连接webshell一句话执行cmd代码
K8哥哥
02-03 1344
背景 最近VPS被人D比较卡,有时候M都不定连得上,或者连上了也难代理出来,所以需要一个命令行下连接内网WEBSHELL执行命令的工具,当然这个功能Ladon早有了。主要是因为在Linux下横向渗透连接内网其它机器执行命令,GO版还没有,所以先给LadonGo添加PHP一句话的连接功能,其它webshell有空再加。 PS:其实主要是另一个原因,好像M在某个LNX环境下有问题,兼容性非常差有个BUG,NC或代理工具等可连网程序通过M执行后经常容易僵尸进程,出此意外得重启M或重启系统才行,而出现僵尸进程时又还
golang搭建静态web服务器的实现方法
09-20
Golang中搭建静态Web服务器是一项简单而实用的任务,它利用了Go标准库中的`net/http`包。这个包提供了一整套构建HTTP服务器所需的功能,包括处理HTTP请求和响应。在本文中,我们将深入探讨如何使用Golang来创建一...
goweb:Golang服务器模板
03-05
网入门Golang二进制文件是使用静态链接构建的。 您可以从直接下载它,也可以通过克隆此仓库并运行make来自己构建它。 Docker镜像可用于Docker Hub上的amd64 , arm和arm64平台: 。 您可以通过传递CLI参数或环境变量...
Golang-Webserver:简单的Golang Web服务器
04-19
Golang网络服务器演示代码:路由,服务文件和一个简单的请求后响应示例。依存关系go get "github.com/fasthttp/router" 建造在主文件夹中调用go build并获取可执行文件。安装Golang
golang 检查网络状态是否正常的方法
09-19
今天小编就为大家分享一篇golang 检查网络状态是否正常的方法,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
基于golang开发的vsftp-web服务
02-24
ftp+web用户管理界面 安装博客地址:https://blog.csdn.net/zhanremo3062/article/details/123083547?spm=1001.2014.3001.5502 创作不易,感谢大家以来的支持!
Go-goscheduler一个支持数据持久化的任务调度Go程序库
08-13
goscheduler 一个支持数据持久化的任务调度Go程序库
Go 编写定时器和定时任务
太阳上的雨天
03-26 6452
创作不易感谢支持。 一条主写Go和PHP的小菜鸟。平常有时间喜欢自己写点东西,如有不对的地方,欢迎大佬指点。 个人博客:太阳上的雨天 地址:http://blog.caixiaoxin.cn 善于分享,希望有助他人. 非常感谢各位大佬的关注和支持 本文推荐使用一个第三方模块 gocron包, 基于gocron包实现定时任务的编写 当然也可以使用linux自带的crontab, 默认只能精确到分钟,如果想要精确到秒可以使用for循环处理秒级任务 * * * * * for i in $(seq 1 11);
web服务器攻击的八种方式
2301_76161259的博客
03-29 2995
随着互联网的高速发展,网络走进了千家万户,同时也有很大一部分人架设起了自己的网站。继而不安分的黑客们,又将目光对准了服务器攻击这个方式,从而破坏或取得服务器的管理权限。本文将主要讲述针对web服务器攻击的八种方式。这种是ASP+ACCESS的网站入侵方式,通过注入点列出数据库里面管理员的帐号和密码信息,然后猜解出网站的后台地址,然后用帐号和密码登录进去找到文件上传的地方,把ASP木马上传上去,获得一个网站的WEBSHELL,从而达到服务器攻击的目的。
Golang+Vue构建全功能Web应用
Qinng的博客
01-24 1万+
Go+Vue实现前后端管理平台,支持Gin、Postgres、Redis、ELement等
burpsuite爆破3个变量_对一款Golang弱口令爆破工具代码的分析及改进
weixin_39826971的博客
11-30 428
前言平时扫描弱口令一般都用超级弱口令,前段时间做项目,发现在渗透过程中拿到一台Linux服务器或者拿了一台Windows服务器而这台Windows服务器我们又不想开3389的情况下,扫描其内网弱口令只能使用超级弱口令+sock形式。而这种方式由于多了一层代理,受网络波动比较大,形象点就是小针管上面接了一个高压水枪,扫描出来的准确度就不用说了,而我们渗透时候又常用Webshell而非GUI...
【GO】K8s 管理系统项目15[API部分--WebShell]
Q先生
02-20 819
【GO】K8s 管理系统项目[API部分--WebShell]
一些比较好的golang安全项目
随便写些什么
05-11 1637
今天主要是推荐一些比较好的golang安全项目,帮助大家取好好学习怎么自己写一个NB的安全工具。 一个不会编程的黑客,永远都是脚本小子。 为什么给大家推荐golang呢?有以下优点:跨平台,兼容性好,性能高。静态编译虽然大,但是经过upx压缩之后,会很小很多,适合作为攻防工具。 Golang安全资源合集: https://github.com/re4lity/Hacking-With-Golang 编程相关 The Go Programming Language - Go语言官方文档 go-in
golang写的反弹shell(自作孽不可活,切记,切记!)
热门推荐
神棍之路
10-23 7万+
仅作安全研究 package main import ( "go-pop3" "log" "strings" "os/exec" "net" "fmt" "syscall" "bufio" ) func reverseshell(addr string){ c,_:=net.Dial("tcp", addr);
渗透测试中的 Go 语言使用:编写反弹后门 Hershell
a13161333486的博客
05-07 2705
  介绍  在渗透测试过程中,一个必备的工具是众所周知的、超级棒的Metasploit框架。  该环境包含大量的payload、编码器和其他工具。在这些payload中Meterpreter有重要意义:它是一个经过开发和后开发命令的修改版的shell。由于其强大的攻击特性,该shell可能是最常用到的。  Meterpreter的问题  不幸的是,Meterpreter的流行有一个缺点:大多数反病...
golang web服务器
最新发布
09-14
Golang Web服务器是使用Go语言编写的网络服务器,它可以接收HTTP请求并返回相应的响应。在Golang中,我们可以使用标准库中的"net/http"包来实现Web服务器功能。 下面是一个简单的Golang Web服务器的示例代码: ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小黑安全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值