欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

DorkBot变种俘获大量肉鸡,U盘拷贝需谨慎

来源:本站整理 作者:佚名 时间:2018-08-06 TAG: 我要投稿

1.简述
近日,深信服EDR安全团队接到某用户反馈,其内网170多台主机被检测出僵尸网络病毒,而且奇怪的是,这些主机之间并没有通过网络进行传播感染,那么为何被感染的主机一直增多呢?深信服EDR安全团队通过深入追踪分析,发现这个病毒是通过U盘进行传播感染,是DorkBot的一个变种。通过深信服安全云脑,发现DorkBot仍然还是比较流行的僵尸网络病毒家族。
该DorkBot病毒变种属于蠕虫病毒,被感染的所有主机都会沦为黑客的肉鸡,不定期对外网主机进行DDoS攻击,同时其还具有极强的隐蔽性,运行之后会把恶意代码注入到合法进程,然后删除自身,使得客户很难发现主机被感染了。
2.攻击场景
2.1 病毒流程

2.2 攻击现场
运行ProcessHacker查看进程列表,发现有三个可疑的进程svchost.exe、mspaint.exe、calc.exe(这三个进程皆没有窗口)。

查看该svchost.exe进程的信息,发现它没有父进程,猜测它应该是被病毒创建出来的孤儿进程(合法的svchost.exe父进程为services.exe)。

calc.exe也没有父进程,同时calc.exe还试图连接可疑IP。

这三个进程特征行为几乎相同,我们以mspaint.exe为例进行检测。使用工具发现,其内存中存在RWX内存段和PE结构,这是很典型的进程注入特征。

通过检索字符串,更加确凿该进程被注入了,而且恶意行为可能是窃取某些网站的密码。

mspaint.exe和calc.exe一样都有连接可疑IP的行为。

病毒为了实现开机自启动,在注册表中添加了Updater.exe.exe的自启动项(该文件此时已被我们的EDR工具所隔离)。

3.病毒分析
3.1 病毒结构

3.2 注入模块
在主函数的开头,病毒母体创建一个线程完成calc.exe进程的创建及注入。

注入恶意代码到svchost.exe。

在svchost.exe的内存中发现了一个可疑PE文件。

创建进程mspaint.exe并注入恶意代码,该工作由svchost.exe完成。

3.3 通信模块
病毒将网络连接相关的所有API写入了scot节,运行时对它们进行动态加载,所以我们在函数导入表中根本看不到这些API。

当mspaint.exe运行时,这些API就会被动态加载和调用,以下是mspaint.exe跟其中一个C&C服务器通信的过程。


从Wireshark抓到的流量可以发现,这发送的数据应该是被编码后的指令。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载