蠕虫病毒最新变种分析 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2019-10-07

[size=; font-size: 18pt,18pt]0x1[size=; font-size: 18pt,18pt]、病毒简介[size=; font-size: 10.5pt,10.5pt]该变种延续了以往版本的多个漏洞利用攻击方式，包括永恒之蓝漏洞（MS-17-010）、Apache Struts2远程代码执行漏洞（CVE-2017-5638）、WebLogic WLS组件远程代码执行漏洞（CVE-2017-10271）、Tomcat PUT方式任意文件上传漏洞（CVE-2017-12615）利用攻击和ipc$爆破攻击，thinkphp5漏洞（CNVD-2018-24942）利用攻击, LNK漏洞（CVE-2017-8464）。木马在攻陷的电脑植入挖矿木马挖矿门罗币，同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。[size=; font-size: 18pt,18pt]0x2[size=; font-size: 18pt,18pt]、相关文件[size=; font-size: 10.5pt,10.5pt]样本信息：download.exe样本MD5: 2FE96C33E053E1D243AEB94F3DAD4FEF样本大小: 315K来源:https://www.virustotal.com/gui/file/b1785560ad4f5f5e8c62df16385840b1248fe1be153edd0b1059db2308811048/detection样本信息：HidregSvc.exe样本MD5: DFD58F4975C425428A039104FCAF2F39样本大小: 5.18MB来源:https://www.virustotal.com/gui/file/219644f3ece78667293a035daf7449841573e807349b88eb24e2ba6ccbc70a96/detection[size=; font-size: 18pt,18pt]0x3[size=; font-size: 18pt,18pt]、行为预览[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 18pt,18pt]0x4[size=; font-size: 18pt,18pt]、分析过程download.exe分析[size=; font-size: 10.5pt,10.5pt]脱壳：[size=; font-size: 10.5pt,10.5pt]下载download.exe，发现是upx壳[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt]用od打开，现在可以看到程序的入口，可以发现入口的特征确实为upx壳的特征:[size=; font-size: 10.5pt,10.5pt]UPX压缩后的文件有两个区段，UPX0,UPX1,其中UPX0是一个空的区段，是原程序用来保存代码的地方。而UPX1则是保存被压缩后的程序数据的地方，这是一个二进制的数据流。UPX的解码代码便是使用该数据来进行解码而得到原本的程序。[size=; font-size: 10.5pt,10.5pt]pushad ;保存寄存器[size=; font-size: 10.5pt,10.5pt]mov esi,download.0048E000 ;取UPX1段地址, ESI <- UPX0[size=; font-size: 10.5pt,10.5pt]lea edi,dword ptr ds:[esi-0x8D000] ;取UPX0段地址, EDI <- UPX1[size=; font-size: 10.5pt,10.5pt]push edi ;保存UPX0段到堆栈中 [size=; font-size: 10.5pt,10.5pt]jmp short download.004DC1EA. ;跳转到解码代码[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]确认为upx壳后尝试使用 “esp定律”脱壳[size=; font-size: 10.5pt,10.5pt]1.先od加载程序download.exe，此时自然就到了程序的入口点，发现pushad, F8单步执行一步，然后可以看到寄存器区域的esp反色高亮[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]2.此时我们在esp高亮处点击右键->选择HW break[ESP]，即可下一个硬件断点 [size=; font-size: 10.5pt,10.5pt]3.可以在”调试“->"硬件断点"，来进行查看断点是否下成功

[size=; font-size: 10.5pt,10.5pt]4.接下来F9运行程序，然后我们可以看到程序断在了第一行，按照规律最下面的jmp,将带领我们跳至oep,也就是程序真正的入口，我们可以在那行用F4，然后再F8单步执行

[size=; font-size: 10.5pt,10.5pt]5.此时就来到了真正的程序入口点，可以看到程序入口点OEP的特征和通常的Microsoft Visual C++ 6.0的OEP特征非常相似，所以这时我们可大致断定我们找到了OEP

[size=; font-size: 10.5pt,10.5pt]6.在OEP处右键选择“用OllyDump脱壳调试进程”,去除重建输入表,脱壳保存为本地tkd

[size=; font-size: 10.5pt,10.5pt]7.这时再把我们保存的tkd.exe拖入PEID中，upx壳已经脱掉。

HidregSvc.exe分析

[size=; font-size: 10.5pt,10.5pt]download.exe下载母体病毒HidregSvc.exe程序[size=; font-size: 10.5pt,10.5pt]C:UsersAdministratorAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE52A9NK5P3[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]下载到TEMP目录下以HidregSvc.exe执行

[size=; font-size: 10.5pt,10.5pt]HidregSvc.exe分析[size=; font-size: 10.5pt,10.5pt]同样是upx壳，使用上面的方法脱壳分析[size=; font-size: 10.5pt,10.5pt]HidregSvc.exe作为母体释放挖矿木马进行挖矿，并且释放扫描模块、永恒之蓝攻击模块、ipc$爆破攻击模块利用多个漏洞对其他电脑进行攻击[size=; font-size: 10.5pt,10.5pt]扫描模块:[size=; font-size: 10.5pt,10.5pt]释放端口扫描模块到目录C:Windowstjhdeclciztbtutcyi，获取本地IP地址，通过访问http://2019.ip138.com/ic.asp 获取所在公网ip地址，将生成的IP段包含本地网络的B段和所在公网的B段，以及随机生成的公网地址保存为ip.txt，启动端口扫描工具eybnthwpy.exe对IP地址的139/445端口进行扫描，将扫描结果保存到result.txt。木马同时针对内网以及外网IP地址攻击，导致其具有更大的感染能力。[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]永恒之蓝模块[size=; font-size: 10.5pt,10.5pt]释放永恒之蓝漏洞攻击模块到目录C:WindowstjhdeclciUnattendGC[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]针对开放139/445端口的电脑利用永恒之蓝漏洞（MS-17-010）攻击模块进行攻击，攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll)[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] 爆破工具[size=; font-size: 10.5pt,10.5pt]俄产4899爆破工具swrpwe.exe-lamescan[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]爆破使用的字典[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] 利用mimikatz搜集登录密码，并利用密码字典进行IPC$远程爆破，爆破登录成功后在目标机器利用WMIC执行远程命令启动木马程序[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]ipc$远程爆破模块释放到目录C:WindowstjhdeclciCorporate[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]内置密码字典[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]WebLogic WLS组件远程代码执行漏洞（CVE-2017-10271）攻击。[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]Struts2远程代码执行漏洞（CVE-2017-5638）攻击。[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]Tomcat PUT方式任意文件上传漏洞（CVE-2017-12615）攻击。[size=; font-size: 10.5pt,10.5pt]利用漏洞上传名为FxCodeShell.jsp的webshell，利用该webshell下载木马文件并执行[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]ThinkPHP V5远程任意代码执行漏洞（CNVD-2018-24942）攻击。[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]Weblogic反序列化远程代码执行漏洞（CNVD-C-2019-48814）攻击。[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]LNK漏洞（CVE-2017-8464）[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]HidregSvc.exe作为母体释放挖矿木马进行挖矿[size=; font-size: 10.5pt,10.5pt]安装为计划任务进行启动：[size=; font-size: 10.5pt,10.5pt]挖矿木马安装计划任务名kittispwlq：[size=; font-size: 10.5pt,10.5pt]启动程序：cmd /c echo Y|cacls C:Windowstempbpafzkynyuagbet.exe /p everyone:F[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]挖矿木马安装计划任务名pjiizdgtd：[size=; font-size: 10.5pt,10.5pt]启动程序：cmd /c echo Y|cacls C:Windowsbguypjptemqagbg.exe /p everyone:F[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]C2服务器下载相应的配置文件cfg.ini[size=; font-size: 10.5pt,10.5pt][size=; font-size: 10.5pt,10.5pt] [size=; font-size: 10.5pt,10.5pt]相应的C2服务器URL地址：[size=; font-size: 10.5pt,10.5pt]http://uio.hognoob.se:63145/cfg.ini[size=; font-size: 10.5pt,10.5pt]http://uio.heroherohero.info:63145/cfg.ini[size=; font-size: 10.5pt,10.5pt]下载回来的配置文件中包含挖矿流量的矿池地址：[size=; font-size: 10.5pt,10.5pt]pxi.hognoob.se:35791[size=; font-size: 10.5pt,10.5pt]pxx.hognoob.se:35789[size=; font-size: 10.5pt,10.5pt] [size=; font-size: 18pt,18pt]0x5[size=; font-size: 18pt,18pt]、处置方式1.服务器暂时关闭不必要的端口（如135、139、445）；[size=; font-size: 10.5pt,10.5pt]2.下载并更新Windows系统补丁，及时修复MS17-010补丁以及CVE-2017-8464漏洞补丁；[size=; font-size: 10.5pt,10.5pt]3.定期对服务器进行加固，尽早修复服务器相关组件安全漏洞，安装服务器端的安全软件；[size=; font-size: 10.5pt,10.5pt]4.服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；[size=; font-size: 10.5pt,10.5pt]5.使用安全产品查杀木马文件及进程；[size=; font-size: 10.5pt,10.5pt]6.中毒电脑可参考以下提示手动清理：[size=; font-size: 10.5pt,10.5pt]删除文件：[size=; font-size: 10.5pt,10.5pt]download.exe[size=; font-size: 10.5pt,10.5pt]HidregSvc.exe[size=; font-size: 10.5pt,10.5pt]删除目录：[size=; font-size: 10.5pt,10.5pt]C:Windowsinf[size=; font-size: 10.5pt,10.5pt]C:WindowsSystem32[size=; font-size: 10.5pt,10.5pt]C:WindowsRegistration[size=; font-size: 10.5pt,10.5pt]C:WindowsIME[size=; font-size: 10.5pt,10.5pt]C:Windowsbguypjpt[size=; font-size: 10.5pt,10.5pt]C:Windowstjhdeclci[size=; font-size: 10.5pt,10.5pt]删除所有新增的计划任务名，如：[size=; font-size: 10.5pt,10.5pt]计划任务名：kittispwlq，[size=; font-size: 10.5pt,10.5pt]启动程序：cmd /c echo Y|cacls C:Windowstempbpafzkynyuagbet.exe /p everyone:F[size=; font-size: 10.5pt,10.5pt]计划任务名：pjiizdgtd[size=; font-size: 10.5pt,10.5pt]启动程序：cmd /c echo Y|cacls C:Windowsbguypjptemqagbg.exe /p everyone:F