蠕虫病毒最新变种分析

本帖最后由 hzwsuki 于 2019-7-9 18:50 编辑

0x1、相关文件
该变种延续了以往版本的多个漏洞利用攻击方式,包括永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)利用攻击和ipc$爆破攻击,thinkphp5漏洞(CNVD-2018-24942)利用攻击, LNK漏洞(CVE-2017-8464)。木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击模块对针对局域网以及外网IP进行扩散攻击。

0x2、相关文件
download.exe

HidregSvc.exe

cfg.ini

emqagbg.exe

0x3、行为预览
[img=415,430]blob:https://www.52pojie.cn/10169157-386b-4aef-8d22-4ea2988d2413[/img]

0x4、分析过程
download.exe分析
脱壳:

下载download.exe,发现是upx壳


[img=411,231]blob:https://www.52pojie.cn/bc0b4708-2481-4f56-88c0-4b185e3666db[/img]

用od打开,现在可以看到程序的入口,可以发现入口的特征确实为upx壳的特征:

UPX压缩后的文件有两个区段,UPX0,UPX1,其中UPX0是一个空的区段,是原程序用来保存代码的地方。而UPX1则是保存被压缩后的程序数据的地方,这是一个二进制的数据流。UPX的解码代码便是使用该数据来进行解码而得到原本的程序。


pushad                        ;保存寄存器

mov esi,download.0048E000      ;取UPX1段地址, ESI <- UPX0

lea edi,dword ptr ds:[esi-0x8D000] ;取UPX0段地址, EDI <- UPX1

push edi                       ;保存UPX0段到堆栈中                              

jmp short download.004DC1EA.   ;跳转到解码代码

[img=415,108]blob:https://www.52pojie.cn/ca43176b-1151-4cc1-8eeb-ad9e9aba6292[/img]


确认为upx壳后尝试使用 “esp定律”脱壳

1.先od加载程序download.exe,此时自然就到了程序的入口点,发现pushad, F8单步执行一步,然后可以看到寄存器区域的esp反色高亮

[img=415,100]blob:https://www.52pojie.cn/c3e18508-a2f2-422f-9aea-123e2f3dac46[/img]

2.此时我们在esp高亮处点击右键->选择HW break[ESP],即可下一个硬件断点
[img=258,323]blob:https://www.52pojie.cn/9467c7aa-3bc5-404e-bfe4-7d66edef9d41[/img]3.可以在”调试“->"硬件断点",来进行查看断点是否下成功[img=371,367]blob:https://www.52pojie.cn/3ccddbdd-8d85-499b-88b3-e09db9d1b073[/img]4.接下来F9运行程序,然后我们可以看到程序断在了第一行,按照规律最下面的jmp,将带领我们跳至oep,也就是程序真正的入口,我们可以在那行用F4,然后再F8单步执行[img=415,73]blob:https://www.52pojie.cn/98b9514e-7243-465e-9536-2083e3327e36[/img]5.此时就来到了真正的程序入口点,可以看到程序入口点OEP的特征和通常的Microsoft Visual C++ 6.0的OEP特征非常相似,所以这时我们可大致断定我们找到了OEP[img=415,230]blob:https://www.52pojie.cn/b4293093-11fd-4818-8cc9-493333eeb5c0[/img]6.在OEP处右键选择“用OllyDump脱壳调试进程”,去除重建输入表,脱壳保存为本地tkd[img=415,304]blob:https://www.52pojie.cn/a3a6b4e9-2e46-43be-90d9-f7e0aa08aede[/img]
7.这时再把我们保存的tkd.exe拖入PEID中,upx壳已经脱掉。[img=412,231]blob:https://www.52pojie.cn/9ea4df6b-e21b-4bea-b1b9-2b7f67ea76b1[/img]HidregSvc.exe分析
download.exe下载母体病毒HidregSvc.exe程序

C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2A9NK5P3

[img=415,205]blob:https://www.52pojie.cn/a0f7430a-5abe-42c6-9c33-af961f53cc3d[/img]

下载到TEMP目录下以HidregSvc.exe执行
[img=415,189]blob:https://www.52pojie.cn/b0a8613b-a384-4f4d-9a8e-96076224aa36[/img]
HidregSvc.exe分析

同样是upx壳,使用上面的方法脱壳分析

HidregSvc.exe作为母体释放挖矿木马进行挖矿,并且释放扫描模块、永恒之蓝攻击模块、ipc$爆破攻击模块利用多个漏洞对其他电脑进行攻击


扫描模块:

释放端口扫描模块到目录C:\Windows\tjhdeclci\ztbtutcyi,获取本地IP地址,通过访问http://2019.ip138.com/ic.asp 获取所在公网ip地址,将生成的IP段包含本地网络的B段和所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具eybnthwpy.exe对IP地址的139/445端口进行扫描,将扫描结果保存到result.txt。木马同时针对内网以及外网IP地址攻击,导致其具有更大的感染能力。

[img=415,220]blob:https://www.52pojie.cn/8feb604e-0c1f-4113-95cf-0542342074cd[/img]


[img=182,390]blob:https://www.52pojie.cn/8b5f8636-7b88-4367-8796-ee2416e9a49f[/img]

永恒之蓝模块

释放永恒之蓝漏洞攻击模块到目录C:\Windows\tjhdeclci\UnattendGC

[img=415,152]blob:https://www.52pojie.cn/943c35b4-aace-4f81-be2d-45adb43d5c51[/img]

针对开放139/445端口的电脑利用永恒之蓝漏洞(MS-17-010)攻击模块进行攻击,攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll)

[img=415,195]blob:https://www.52pojie.cn/80bff029-ed98-4a11-9598-e826d1319b85[/img]


爆破工具

俄产4899爆破工具swrpwe.exe-lamescan

[img=415,343]blob:https://www.52pojie.cn/4100b9d1-0acc-4456-ab3a-b98aa746dc5a[/img]

爆破使用的字典

[img=282,345]blob:https://www.52pojie.cn/5d7d234b-ac52-4568-9c10-f11ec11ca332[/img]


利用mimikatz搜集登录密码,并利用密码字典进行IPC$远程爆破,爆破登录成功后在目标机器利用WMIC执行远程命令启动木马程序

[img=415,404]blob:https://www.52pojie.cn/4515a219-0d7d-4a9c-b19d-429f120edef5[/img]

ipc$远程爆破模块释放到目录C:\Windows\tjhdeclci\Corporate

[img=415,102]blob:https://www.52pojie.cn/af52471c-6fa1-4642-953d-19561013e1ab[/img]


内置密码字典

[img=217,252]blob:https://www.52pojie.cn/862a21d2-904f-4435-bc85-dcbd42ca320d[/img]

WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)攻击。

[img=415,66]blob:https://www.52pojie.cn/597500c6-b914-4f5c-9ee6-60c703204b08[/img]

Struts2远程代码执行漏洞(CVE-2017-5638)攻击。

[img=415,211]blob:https://www.52pojie.cn/24199bc7-5cac-4e87-af12-9a8541f40196[/img]

Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)攻击。

利用漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell下载木马文件并执行

[img=326,42]blob:https://www.52pojie.cn/6c4c557a-7903-4763-838e-3b46cf0640ed[/img]


[img=415,387]blob:https://www.52pojie.cn/3bd63a3f-aa26-4540-b80b-f14db6973bce[/img]

ThinkPHP V5远程任意代码执行漏洞(CNVD-2018-24942)攻击。

[img=415,58]blob:https://www.52pojie.cn/ddd3f350-d09d-4350-971f-fad49641296e[/img]

Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814)攻击。

[img=374,109]blob:https://www.52pojie.cn/2b686360-3046-478e-9987-43908bf364b2[/img]

LNK漏洞(CVE-2017-8464)

[img=415,174]blob:https://www.52pojie.cn/77856a47-2a91-4d51-b029-b03a0fdf5a2e[/img]
挖矿分析
HidregSvc.exe作为母体释放挖矿木马进行挖矿

安装为计划任务进行启动:

挖矿木马安装计划任务名kittispwlq:

启动程序:cmd /c echo Y|cacls C:\Windows\temp\bpafzkyny\uagbet.exe  /p everyone:F

[img=415,140]blob:https://www.52pojie.cn/7d0c31cf-b209-4367-b7b1-bdb05858072d[/img]

挖矿木马安装计划任务名pjiizdgtd:

启动程序:cmd /c echo Y|cacls C:\Windows\bguypjpt\emqagbg.exe  /p everyone:F

[img=415,135]blob:https://www.52pojie.cn/3b3c1c0e-d3e7-43d6-8f48-761a74e9c38a[/img]

C2服务器下载相应的配置文件cfg.ini

[img=415,42]blob:https://www.52pojie.cn/a1e40b2f-cba4-4388-af86-bd71a79a8096[/img]

相应的C2服务器URL地址:


http://uio.hognoob.se:63145/cfg.ini

http://uio.heroherohero.info:63145/cfg.ini

下载回来的配置文件中包含挖矿流量的矿池地址:

pxi.hognoob.se:35791

pxx.hognoob.se:35789

[img=345,421]blob:https://www.52pojie.cn/338ffc12-bd25-445a-93f8-1049ebe7f6c5[/img]

THE END
喜欢就支持以下吧
点赞0
分享
评论 抢沙发
  • 管埋员

    昵称

  • 取消
    昵称