吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5764|回复: 16
收起左侧

[PC样本分析] 管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵

  [复制链接]
火绒安全实验室 发表于 2021-3-2 18:41
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
【快讯】根据“火绒威胁情报系统”监测,近日,火绒工程师发现多起黑客入侵企业服务器后下载并执行后门病毒的威胁事件。目前,火绒相关防护功能可拦截该攻击,并能扫描查杀该后门病毒。但同时,我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的。
Image-4.png
火绒查杀图
Image-5.png
火绒拦截图
火绒工程师溯源发现,黑客通过弱口令等方式入侵服务器后,然后通过SQL Server等服务启动cmd.exe来执行powershell脚本,最终下载运行上述后门病毒程序。而该后门病毒疑似为Quasar RAT的变种(一款国外开源远控工具),具备了下载、执行、上传、信息获取与记录等常见的远程控制功能,对用户特别是企业单位具备严重安全威胁。
无独有偶,就在今年2月初,火绒曾发布报告披露多起黑客入侵服务器投放勒索病毒的事件(《留意火绒安全日志!一条勒索病毒攻击链正在持续更新和入侵》)。对此,火绒再次提醒广大用户,尤其是企业服务器管理人员,及时部署安全软件,并定时查看安全日志,对服务器进行加固,避免遭遇上述黑客、病毒攻击。火绒用户如发现异常日志记录,可随时联系我们进行排查。

附:【分析报告】
一、        详细分析
近期,火绒终端威胁情报系统监测到多起黑客入侵服务器后通过执行powershell脚本来下载执行后门病毒的事件。通过查询近一年的相关威胁信息后,我们得到该后门病毒的传播趋势如下图所示:
Image-6.png
传播趋势
经代码分析对比,我们推测该后门病毒是由黑客修改Quasar RAT而来。Quasar RAT是国外一款开源的远控工具,具有下载、执行、上传、信息获取与记录等常见的远程控制功能。由于我们不排除后续黑客采用更高威胁的渗透方法及后门模块进行攻击与控制的可能性,所以服务器管理人员应当定期审查系统安全日志,及时发现系统的安全风险并对此进行加固升级。相关入侵流程如下图所示:
Image-7.png
入侵流程图
黑客成功入侵服务器后,利用SQL Server等服务启动cmd.exe来下载执行powershell脚本z。当脚本z执行后,会通过62.60.134.103或170.80.23.121下载执行恶意脚本ps1.bmp并拼接好ps2.bmp的下载路径。相关代码如下图所示:
Image-8.png
脚本z相关代码
ps1.bmp是混淆后的powershell脚本,当它执行后会下载ps2.bmp到内存并将其解密执行。ps2.bmp实则就是加密后的后门模块。相关代码如下图所示:
Image-9.png
脚本ps1.bmp相关代码
解密完成后的ps2.bmp为C#编写的后门模块。当它运行后会随机与C&C服务器(23.228.109.230、www.hyn0hbhhz8.cfwww.ebv5hbhha8.cf、104.149.131.245)进行通信,获取并执行后门指令。连接C&C服务器相关代码如下图所示:
Image-10.png
连接C&C服务器
接收、执行后门指令相关代码如下图所示:
Image-11.png
接收、执行后门指令
二、        溯源分析
经分析发现,我们推测该后门模块是由病毒作者修改Quasar RAT(github链接: hxxps://github.com/mirkoBastianini/Quasar-RAT)而来。远控功能代码对比如下图所示:
Image-12.png
该后门远控功能与Quasar RAT对比
三、        附录
病毒hash
Image-13.png

免费评分

参与人数 9吾爱币 +7 热心值 +8 收起 理由
391394887 + 1 + 1 我很赞同!
Eirc + 1 谢谢@Thanks!
炸天帮王撕葱 + 1 热心回复!
程耀辉 + 1 + 1 我很赞同!
woshicp + 1 + 1 热心回复!
xiaohanjss + 1 + 1 谢谢@Thanks!
ysgbaby + 1 + 1 鼓励转贴优秀软件安全工具和文档!
superfire + 1 用心讨论,共获提升!
hexiaomo + 1 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ClearLover 发表于 2021-3-4 10:00
Quasar-RAT的修改版好像和NJ有一比
cptw 发表于 2021-3-4 13:01
aristan 发表于 2021-3-4 14:09
因为我y 发表于 2021-3-4 14:26
支持下,一直使用火绒产品,轻便小巧。
xiaohanjss 发表于 2021-3-4 14:41
所以说还是不能用弱口令啊,这年头还有很多服务器是弱口令,佛了
hwhj 发表于 2021-3-4 14:46
火绒还是吊啊
ky476 发表于 2021-3-4 14:50
http://www.ebv5hbhha8.cf/
数据库用户名密码root root
但这个打不开phpmyadmin
nishizhudidi 发表于 2021-3-4 15:02
火绒还是一如既往的稳健~ 666
wtwtdwmagmg 发表于 2021-3-4 15:27
一如既往的支持火绒
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:22

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表