快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

一块儿行使“永恒之蓝”系列漏洞传播的黑产木马事故揭秘

1、违景

近期监测到一块儿行使“永恒之蓝”系列漏洞传播恶意软件的事故,通过对事故与样本的阐发,该事故可以定性为一块儿攻击者通过购买恶意软件(首要包括遥控、组建僵尸收集、用于DDoS的恶意软件和挖矿木马等)来弄事情图利的威胁事故。近期这一类攻击较多,本文将从阐发与溯源的两个过程对本次威胁事故进行阐发,供同行参考。

二、样本阐发

在该事故中一共触及5个样本,样本1作为一个“抓鸡”工具行使永恒之蓝漏洞对指定IP段进行扫描(行使样本2),对于存在漏洞的445端口便植入一个downloader(样本3),这个downloader会从攻击者的HFS站点(http://flamess.cn:48096/666.exe)下载一个木马Loader(样本4),loader会在内存中解密“大灰狼”遥控并在内存执行,归连主控端(flamess.cc:2012)。全部逻辑过程可参考下图:

image.png样本1:tcpok.exe

MD5:FB4660F81465DA4DFB3A7137C5F506BE

样本1是一个集成所有样本、用于批量攻击的toolkit,俗称“抓鸡工具”,其中搭载了永恒之蓝漏洞行使程序以及扫描器。运行以后会以开释资源的情势将其他组件开释到Windows/Boota目录下。

image.png

开释文件到Windows\Boota

image.png

开释的文件Up.bat,用于启动永恒之蓝系列漏洞行使工具

image.png

治理员权限运行tcpok.exe后,会试用开释的文件DIck-tcp.bat(这个名字不太文明啊)执行关闭防火墙等修改体系设置的操作

image.png修改设置的执行界面

image.png

端口扫描445端口的执行界面

image.png

样本2:S扫描器

MD5:3091E9DF8DA5F4F00C28074D44BB0641

样本2是一个被称为“S扫描器”的SYN/TCP端口扫描器,互联网有其源代码,参考:https://github.com/kingron/s

image.pngimage.png

样本3:攻击载荷downloader

MD5:B29FE7183FBDB3D405D5E42C33039C36

样本三作为永恒之蓝系列漏洞的攻击载荷DLL,分为x86以及x64两个版本。其功能较简单,就是从攻击者的HFS服务器上下载样本4并执行。

image.png

使用Windows Internet help库下载文件

image.png

样本4:木马Loader

MD5:1A971FE12C5D630C52365D3C46F40B06

样本3作为一个downloader遥程下载样本4后并执行,样本4在内存中解密出遥控DLL并调用其导出函数DllFuUpgradrs执行木马功能。

全部loader的逻辑:

image.png

其中被加密的dll被加密后写到静态数组中(下图),如许做是为了让具备恶意功能的模块在内存中执行,在一定程度上绕过杀软的特征查杀。

image.png

样本5:“大灰狼”遥控

MD5:D8EF91EFBC05496776E60DA311BC4F11

该样本实在是基于Gh0st RAT改写的在国内黑产中比较流行的“大灰狼”遥控,以DLL情势被加密存储在静态数组中。在调用其导出函数DllFuUpgradrs前,在内存中被解密。

sub_100074C0函数解密出字符串

image.png

image.png

总结解密出来的数据类型与结构

归连域名 flamess.cc
归连端口 2012
时间 T170324
服务名 Wsaqwy ifawqtbq
服务DisplayName Hqgkko xiowppgjwtaprhurlh
服务描摹 监测以及监视新硬件设备发并自动更新设备驱动。
程序拷贝路径 %ProgramFiles%\Microsoft Raqvko\
程序拷贝名 svchost.exe
真实IP查询(ip138) http://www.ip138.com/ips138.asp?ip=%s&action=2
真实IP查询(爱站) http://dns.aizhan.com/?q=%s
真实IP查询(QQ空间) http://users.qzone.qq.com/fcg-bin/cgi_get_portrait.fcg?uins=%s

其中大灰狼采用了行使第三方站点获取真实IP的要领,如许在一定程度可以绕过杀软对DNS查询监控

大灰狼这一类遥控为了更好的贩卖,集成了大批的功能

image.png

键盘记录功能

image.png

遥控功能较多,还内置了Kill一些默认进程的命令,真是人道化,然则如许特征更多,更易被杀软查杀。

image.png

image.png

遥控会判定目标装置了什么类型的防病毒软件

image.png

image.png

同时还具备Kill一些局域网的监控软件的功能

image.png

3、事故溯源

在监测到其活动后,根据其域名定位到了其HFS站点flamess.cn,在该站点中具有多个不同类型的恶意样本,包括:Mirai变种、门罗币挖矿木马、遥控和端口转发工具等。这是典型的收集黑产从业人员的伎俩。

image.png

由域名的备案信息得到以下效果

image.png

QQ号信息以下,证明晰攻击者与qq号的关联

image.png

由QQ号信息得知攻击者曾在论坛中有过可疑交易

image.png

继续根据用户ID(Pual30)查询其发帖记录

image.png

image.png

可以看出,该攻击者不仅仅作为恶意软件的使用以及传播者,而且还传播植入后门的样本,这作风真的是很黑啊。

4、关联阐发

在VT上对666.exe进行阐发发现,该样本对应的C2第一次被发现是在2018年1月,活动至今。对应阐发链接:

https://www.virustotal.com/graph/652f03463c0d5369b2ea626da3da8f4a5343d98f626fc74d9de35e33a1baddb0?src=minigraph#/selected/nbbd3b83329782c6eec86e8afe58a9dd787b99eb6dcf42ab51421ac387d8498bf/drawer/node-su妹妹ary

image.png

在对应的HFS站点上还有多个僵尸收集以及挖矿木马的样本

image.png

其他样本的信息

样本名 SHA256 格式 具体
BBBBB bc1a1889d77959434160ae1e416e926e ELF 64-bit 门罗币挖矿
ewLinux32 96f70172f4f20181395e7af147dfa497 ELF 32-bit socks代办署理(基于htrans修改)
i686 0dc02ed587676c5c1ca3e438bff4fb46 ELF 32-bit DDOS(Setag家族)
nice 0dc02ed587676c5c1ca3e438bff4fb46 ELF 32-bit DDOS(Setag家族)
rig ee11c23377f5363193b26dba566b9f5c ELF 64-bit Mirai变种

其中门罗比挖矿木马包含有三个矿池地址:

mine.ppxxmr.com:3333

jw-js1.ppxxmr.com:3333

mine.ppxxmr.com:443

对应的用户为:

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

image.png

其中熟识的端口转发工具,看起来是基于htrans修改,工控黑客 ,其中主函数组织命令:

image.png

判定命令

image.png

功能完成部分

image.png

5、小结

从近期监测来看,当前黑灰产活动触及较多的组建僵尸收集控制大批肉鸡进行DDoS、挖矿等用于图利的举动。无非有一些尚无形成气候,被控制的机器较少。照样得提醒泛博计算机用户提高安全意识,踊跃打补丁。

6、IoCs

FB4660F81465DA4DFB3A7137C5F506BE

3091E9DF8DA5F4F00C28074D44BB0641

B29FE7183FBDB3D405D5E42C33039C36

1A971FE12C5D630C52365D3C46F40B06

D8EF91EFBC05496776E60DA311BC4F11

bc1a1889d77959434160ae1e416e926e

96f70172f4f20181395e7af147dfa497

0dc02ed587676c5c1ca3e438bff4fb46

ee11c23377f5363193b26dba566b9f5c

794087766@qq.com

flamess.cn

flamess.cc

112.30.128.191

111.231.225.170

mine.ppxxmr.com:3333

jw-js1.ppxxmr.com:3333

mine.ppxxmr.com:443

4AB31XZu3bKeUWtwGQ43ZadTKCfCzq3wra6yNbKdsucpRfgofJP3YwqDiTutrufk8D17D7xw1zPGyMspv8Lqwwg36V5chYg

*

您可能还会对下面的文章感兴趣: