hzwsuki 发表于 2019-7-9 18:06

蠕虫病毒最新变种分析

本帖最后由 hzwsuki 于 2019-7-11 18:55 编辑

0x1、病毒简介
该变种延续了以往版本的多个漏洞利用攻击方式,包括永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)利用攻击和ipc$爆破攻击,thinkphp5漏洞(CNVD-2018-24942)利用攻击, LNK漏洞(CVE-2017-8464)。木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。
0x2、相关文件

样本信息:download.exe
样本MD5:2FE96C33E053E1D243AEB94F3DAD4FEF
样本大小: 315K
来源:
https://www.virustotal.com/gui/file/b1785560ad4f5f5e8c62df16385840b1248fe1be153edd0b1059db2308811048/detection

样本信息:HidregSvc.exe
样本MD5:DFD58F4975C425428A039104FCAF2F39
样本大小: 5.18MB
来源:
https://www.virustotal.com/gui/file/219644f3ece78667293a035daf7449841573e807349b88eb24e2ba6ccbc70a96/detection
0x3、行为预览

0x4、分析过程
download.exe分析
脱壳:
下载download.exe,发现是upx壳



用od打开,现在可以看到程序的入口,可以发现入口的特征确实为upx壳的特征:
UPX压缩后的文件有两个区段,UPX0,UPX1,其中UPX0是一个空的区段,是原程序用来保存代码的地方。而UPX1则是保存被压缩后的程序数据的地方,这是一个二进制的数据流。UPX的解码代码便是使用该数据来进行解码而得到原本的程序。

pushad                        ;保存寄存器
mov esi,download.0048E000      ;取UPX1段地址, ESI <- UPX0
lea edi,dword ptr ds: ;取UPX0段地址, EDI <- UPX1
push edi                     ;保存UPX0段到堆栈中                              
jmp short download.004DC1EA.   ;跳转到解码代码


确认为upx壳后尝试使用 “esp定律”脱壳
1.先od加载程序download.exe,此时自然就到了程序的入口点,发现pushad, F8单步执行一步,然后可以看到寄存器区域的esp反色高亮


2.此时我们在esp高亮处点击右键->选择HW break,即可下一个硬件断点

3.可以在”调试“->"硬件断点",来进行查看断点是否下成功4.接下来F9运行程序,然后我们可以看到程序断在了第一行,按照规律最下面的jmp,将带领我们跳至oep,也就是程序真正的入口,我们可以在那行用F4,然后再F8单步执行5.此时就来到了真正的程序入口点,可以看到程序入口点OEP的特征和通常的Microsoft Visual C++ 6.0的OEP特征非常相似,所以这时我们可大致断定我们找到了OEP6.在OEP处右键选择“用OllyDump脱壳调试进程”,去除重建输入表,脱壳保存为本地tkd7.这时再把我们保存的tkd.exe拖入PEID中,upx壳已经脱掉。HidregSvc.exe分析download.exe下载母体病毒HidregSvc.exe程序
C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2A9NK5P3


下载到TEMP目录下以HidregSvc.exe执行HidregSvc.exe分析
同样是upx壳,使用上面的方法脱壳分析
HidregSvc.exe作为母体释放挖矿木马进行挖矿,并且释放扫描模块、永恒之蓝攻击模块、ipc$爆破攻击模块利用多个漏洞对其他电脑进行攻击

扫描模块:
释放端口扫描模块到目录C:\Windows\tjhdeclci\ztbtutcyi,获取本地IP地址,通过访问http://2019.ip138.com/ic.asp 获取所在公网ip地址,将生成的IP段包含本地网络的B段和所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具eybnthwpy.exe对IP地址的139/445端口进行扫描,将扫描结果保存到result.txt。木马同时针对内网以及外网IP地址攻击,导致其具有更大的感染能力。


永恒之蓝模块
释放永恒之蓝漏洞攻击模块到目录C:\Windows\tjhdeclci\UnattendGC


针对开放139/445端口的电脑利用永恒之蓝漏洞(MS-17-010)攻击模块进行攻击,攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll)

爆破工具
俄产4899爆破工具swrpwe.exe-lamescan


爆破使用的字典

利用mimikatz搜集登录密码,并利用密码字典进行IPC$远程爆破,爆破登录成功后在目标机器利用WMIC执行远程命令启动木马程序


ipc$远程爆破模块释放到目录C:\Windows\tjhdeclci\Corporate


内置密码字典


WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)攻击。



Struts2远程代码执行漏洞(CVE-2017-5638)攻击。


Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)攻击。
利用漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell下载木马文件并执行



ThinkPHP V5远程任意代码执行漏洞(CNVD-2018-24942)攻击。


Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814)攻击。


LNK漏洞(CVE-2017-8464)


HidregSvc.exe作为母体释放挖矿木马进行挖矿
安装为计划任务进行启动:
挖矿木马安装计划任务名kittispwlq:
启动程序:cmd /c echo Y|cacls C:\Windows\temp\bpafzkyny\uagbet.exe/p everyone:F


挖矿木马安装计划任务名pjiizdgtd:
启动程序:cmd /c echo Y|cacls C:\Windows\bguypjpt\emqagbg.exe/p everyone:F


C2服务器下载相应的配置文件cfg.ini


相应的C2服务器URL地址:

http://uio.hognoob.se:63145/cfg.ini
http://uio.heroherohero.info:63145/cfg.ini
下载回来的配置文件中包含挖矿流量的矿池地址:
pxi.hognoob.se:35791
pxx.hognoob.se:35789

0x5、处置方式
1.服务器暂时关闭不必要的端口(如135、139、445);
2.下载并更新Windows系统补丁,及时修复MS17-010补丁以及CVE-2017-8464漏洞补丁;
3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,安装服务器端的安全软件;
4.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
5.使用安全产品查杀木马文件及进程;
6.中毒电脑可参考以下提示手动清理:

删除文件:

download.exe

HidregSvc.exe

删除目录:

C:\Windows\inf
C:\Windows\System32
C:\Windows\Registration
C:\Windows\IME
C:\Windows\bguypjpt
C:\Windows\tjhdeclci

删除所有新增的计划任务名,如:

计划任务名:kittispwlq,

启动程序:cmd /c echo Y|cacls C:\Windows\temp\bpafzkyny\uagbet.exe/p everyone:F

计划任务名:pjiizdgtd

启动程序:cmd /c echo Y|cacls C:\Windows\bguypjpt\emqagbg.exe/p everyone:F

ANIMAX 发表于 2019-7-10 00:56

大佬啊,看的眼花缭乱的这些代码。。

Joker-珈珈辉 发表于 2020-7-27 23:17

上半年,在学校用的那台机子中了蠕虫,当时也不知道解决方法,就360杀毒,最后把电脑整瘫痪了,后来重启后没事了。这次在家又中了一次(不是蠕虫),直接找到System32直接删了。哈哈

Joduska 发表于 2019-7-9 18:18

看的我脑袋疼。满屏的黑字。

as1329 发表于 2019-7-9 18:36

大哥,,,,排个版吧,,,,,标签都出来了.......看的脑阔疼...

NHloser 发表于 2019-7-9 18:39

这排版看着头大

lff520520 发表于 2019-7-9 21:44

大佬教程分析就是不一样

lmh2932261247 发表于 2019-7-9 22:19

可以说一下,这里面有哪些语言,哪些工具吗,od,然后脱壳,还有什么俄产,我觉得我看懂有点难,哈哈,{:1_905:}楼主说一下,“有哪些语言,哪些工具吗就好”

孤狼微博 发表于 2019-7-9 22:57

反正你是高手,虽然看懂了只有几句

天蝎浪花 发表于 2019-7-9 23:54

看这计划任务很熟悉,怎么知道它是挖矿木马?有没有更进一步的分析

无疆北月 发表于 2019-7-10 01:19

反正你是高手,虽然看懂了只有几句
页: [1] 2 3
查看完整版本: 蠕虫病毒最新变种分析