吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 13859|回复: 14
收起左侧

[转载] BuleHero蠕虫病毒变种新增thinkphp5漏洞攻击方式

  [复制链接]
sxwa059587 发表于 2019-3-28 16:32
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!


3月9日检测到BuleHero蠕虫病毒最新变种攻击,该变种延续了以往版本的多个漏洞利用攻击方式,新增了thinkphp5漏洞(CNVD-2018-24942)利用攻击,木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。

1_副本.jpg

BuleHero变种攻击流程
一、背景


腾讯御见威胁情报中心3月9日检测到BuleHero蠕虫病毒最新变种攻击,该变种延续了以往版本的多个漏洞利用攻击方式,包括永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)利用攻击和ipc$爆破攻击。新变种增加了thinkphp5漏洞(CNVD-2018-24942)利用攻击,木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。



BuleHero变种攻击流程


二、技术分析


2.1 Download.exe


在漏洞攻击成功后,hxxp://fid.hognoob.se/download.exe


首先被植入,下载到TEMP目录下以RestartLCore.exe执行。

2.png


download.exe负责下载hxxp://fid.hognoob.se/wercplshost.exe

3_副本.jpg


2.2 wercplshost.exe
wercplshost.exe作为母体释放挖矿木马进行挖矿,并且释放扫描模块、永恒之蓝攻击模块、ipc$爆破攻击模块利用多个漏洞对其他电脑进行攻击。


拷贝自身到C:\Windows\miagration\wercplshost.exe,安装为计划任务进行启动:


计划任务名:TablteInputout,


启动程序:cmd /c echo Y|cacls C:\Windows\miagration\wercplshost.exe  /p everyone:F

4_副本.jpg


将门罗币挖矿木马释放到C:\Windows\Temp\locales\taskmgr.exe伪装成任务管理器进程

5_副本.jpg


将挖矿木马安装计划任务进行启动:


计划任务名:werclpsyport


启动程序:cmd /c echo Y|cacls C:\Windows\TEMP\locales\taskmgr.exe  /p everyone:F

6_副本.jpg


释放端口扫描模块到目录C:\Windows\dispmrroe\Coolmaster 目录,获取本地IP地址,通过访问http://2019.ip138.com/ic.asp 获取所在公网ip地址,将生成的IP段包含本地网络的B段和所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具drivekperf.exe对IP地址的139/445端口进行扫描,将扫描结果保存到result.txt。木马同时针对内网以及外网IP地址攻击,导致其具有更大的感染能力。

7_副本.jpg


释放永恒之蓝漏洞攻击模块到目录


C:\Windows\dispmrroe\UnattendGC

8_副本.jpg


针对开放139/445端口的电脑利用永恒之蓝漏洞(MS-17-010)攻击模块进行攻击,攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll)

9_副本.jpg


将ipc$远程爆破模块释放到C:\Windows\dispmrroe\Corporate目录下

10_副本.jpg

利用mimikatz搜集登录密码,并利用内置密码字典进行IPC$远程爆破,爆破登录成功后在目标机器利用Psexec工具或者利用WMIC执行远程命令启动木马程序。

11_副本.jpg

12_副本.jpg
Struts2远程代码执行漏洞(CVE-2017-5638)攻击

13_副本.jpg


WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)攻击

14_副本.jpg


Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)攻击,利用漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell下载木马文件并执行

15_副本.jpg


(新增)ThinkPHP V5远程任意代码执行漏洞(CNVD-2018-24942)攻击

16_副本.jpg


三、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html


2.下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞。


XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598


Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer 2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx


3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,安装服务器端的安全软件;


4.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解


5.使用腾讯御点拦截可能的病毒攻击(https://s.tencent.com/product/yd/index.html);


6.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

17_副本.jpg


7. 中毒电脑除可使用腾讯电脑管家、腾讯御点终端防御系统查杀病毒,也可参考以下提示手动清理:


删除文件:


C:\Windows\miagration\wercplshost.exe


C:\Windows\Temp\locales\taskmgr.exe


C:\Users\[GUID]\AppData\Local\Temp\nmbsawer.exe


删除目录:


C:\Windows\dispmrroe\Coolmaster


C:\Windows\dispmrroe\UnattendGC


C:\Windows\dispmrroe\Corporate


删除计划任务:


计划任务名:TablteInputout,


启动程序:cmd /c echo Y|cacls C:\Windows\miagration\wercplshost.exe  /p everyone:F


计划任务名:werclpsyport


启动程序:cmd /c echo Y|cacls C:\Windows\TEMP\locales\taskmgr.exe  /p everyone:FIOCs


Md5

免费评分

参与人数 9吾爱币 +9 热心值 +8 收起 理由
quanhao1993 + 1 热心回复!
Aug6thSml + 1 + 1 谢谢@Thanks!
chant520 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
willJ + 3 + 1 鼓励转贴优秀软件安全工具和文档!
kbit + 1 热心回复!
haowenpeng123 + 1 + 1 用心讨论,共获提升!
a476376832 + 1 + 1 热心回复!
江湖一小刀 + 1 用心讨论,共获提升!
liangwenwen + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

wuyoukm 发表于 2019-3-28 17:06
精品我很喜欢
9200 发表于 2019-3-28 17:12
两耳就是菩提 发表于 2019-3-28 17:23
super163 发表于 2019-3-28 19:22
分析的很专业啊!
a476376832 发表于 2019-3-28 23:35
謝謝樓主分享
丿死神灬小旺 发表于 2019-3-29 00:04
中过一次类似的
WangAOA 发表于 2019-3-29 09:34
刚好在弄TP三点二
chant520 发表于 2019-3-29 09:44
优秀安全贴
Aug6thSml 发表于 2019-3-29 10:38
最喜欢看这种技术分析帖子,赞一个
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:51

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表