近日�����,“永恒之藍”WanaCry蠕蟲勒索病毒肆虐全球,引起了網民高度重視��,同時也引起了很多黑客的注意�,據瑞星安全研究人員介紹,在眾多漏洞利用的攻擊者中��,發現了一名ip地址位于中國的黑客����。該黑客利用“永恒之藍”漏洞把木馬發送到被攻擊機器,然后控制機器構建僵尸網絡�����,目前已有上千臺機器感染����,未來還會造成更大的傷害。
圖:受影響IP全國分布
該攻擊最先由安全研究人員通過蜜罐捕獲�。蜜罐捕獲到來了自IP 地址182.18.23.38 (此ip地址位于中國)的攻擊,被攻擊端口是 445 端口��,后經分析發現,攻擊使用的漏洞正是永恒之藍漏洞�。病毒作者攻擊后會發送帶有木馬程序的Payload,之后Payload下載RAT遠控木馬實現機器的完全控制���,從木馬的編譯時間來看��,還要早于WannaCry����。
雖然此木馬不會像WannaCry一樣主動傳播����,也不會加密計算機中的文件,勒索贖金�。但是病毒作者可以使用遠控木馬,完全控制被攻擊計算機�����?刂朴嬎銠C之后可以做任何事情。其中就有竊取文件��,監控屏幕���,監控攝像頭�����,監聽麥克風�����,所以對受害者而言����,受到的傷害并不比勒索要小。
此外�,最近捕獲的一些樣本表明,泄露的漏洞除了被用于傳播勒索病毒��,傳播木馬之外��。還有一些攻擊者使用泄露的漏洞和攻擊武器傳播挖礦病毒�����,使受害者計算機cpu��、顯卡使用率飆升���。導致計算機溫度過高�����,機器嚴重卡頓���,無法完成正常工作�。還有一些攻擊者�,使用漏洞抓肉雞,組建僵尸網絡�����。這些僵尸網絡可被用來DDOS攻擊�,對企業、社會造成極大的危害�����。有數據表明��,60%的小企業會在遭受DDOS攻擊 6 個月內倒閉����。
詳細分析:
攻擊者 首先通過網絡 向被攻擊目標,發送可以觸發漏洞的網絡數據流�����。一旦攻擊成功�����,攻擊者將通過這條通道�,發送一個二進制DLL文件,完成進一步的控制�,下文中我們將此文件稱作Payload。
Payload分析
1����、攻擊過程邏輯如下:
圖-攻擊過程
圖-Payload執行過程
2、病毒各部分功能:
表-各部分功能
3���、Payload運行之后首先調用InWMI 函數將硬編碼的Jscript腳本注冊為WMI中的永久事件消費者���。當與其綁定的時間到達時,就會被觸發執行預先定義好的Jscript腳本��,此方式較為隱蔽���。
圖-注冊WMI事件消費者
圖-硬編碼的腳本
腳本的功能是:
(1)訪問指定網頁獲取要結束的進程列表
圖-獲取進程列表代碼
網頁http://wmi.mykings.top:8888/kill.html 中的進程列表
圖-獲取到的進程列表
進程列表 :
表-結束的進程
(2)讀取列表���,結束指定進程�����,刪除指定文件
這些被結束的進程���,刪除的文件,都是已知的一些病毒常用的名稱����。作者這樣做的目的是為了更加方便的控制受害者的計算機,防止被別的病毒干擾�。并且也可以防止別的病毒引起的計算機異常時,受害者排查的時候發現自己�����。
圖-結束進程�����,刪除文件
(3)下載并運行指定程序
訪問網頁wmi.mykings.top:8888/test.html 下載遠控木馬主體
圖-下載運行指定程序
(4)運行RAT遠控木馬主體
c:\\windows\\debug\\item.dat
圖-運行遠控木馬主體
至此注冊WMI事件的Jscrpit腳本功能完成�。
4.聯網獲取控制指令
Payload中除了注冊WMI之外,還會訪問網絡��,獲取控制指令
首先訪問http://down.mysking.info:8888/ok.txt 將內容讀取到緩沖區中
然后解析數據��,讀取控制指令���,根據控制指令執行對應的功能
讀取到[down]指令
則從后面的網址http://23.27.127.254:8888/close.bat下載文件
保存為c:\windows\debug\c.bat
圖-下載c.bat命令
c.bat的主要功能是關閉端口���,防止利用同樣漏洞的病毒再進入受害者計算機,導致自己的遠控無法正常工作�����。
圖-關閉端口代碼
讀取到[cmd]指令
則執行后面的批處理命令
圖-cmd批處理命令
批處理命令的功能和Jcript腳本功能類似 �,增加刪除賬戶的功能,結束的進程也有變化��。
刪除以下賬戶
表-刪除的賬戶
結束指定進程刪除文件
表-結束的進程
運行之前[down]命令下載的 c:\windows\debug\c.bat
圖-運行c.bat代碼
圖-運行木馬主體代碼
木馬主體分析
木馬主體加了殼�,反匯編無效,動態調試也很困難
圖-加殼信息
圖-區段信息
圖-入口代碼
但是通過字符串和執行的流程��,發現了此木馬是由開源遠程控制軟件的代碼修改而來
開源代碼結構:
圖-開源代碼結構
木馬運行之后�����,執行初始化操作,初始化完成之后創建監聽線程等待遠程控制服務器連接����。根據遠程發來的指令執行不同的功能。
執行流程:
圖-木馬執行流程
創建監控線程線程��,回調函數中
keepAlive 等待控制指令��,收到控制指令后根據指令 執行對應的功能
圖-監控線程源碼
圖-監控線程反匯編代碼
此木馬的主要功能有
表-控制碼功能
對應代碼:
具體防范防御措施:
1��、安裝系統補丁或開啟Windows Update����。
2、在條件允許的情況下�,關閉 445 端口。
3�、安裝、升級專業的防病毒產品����,開啟全部監控功能。
京公網安備 11010502041587號