欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

蠕虫病毒利用”永恒之蓝“漏洞传播,单位局域网受威胁最大

来源:本站整理 作者:佚名 时间:2018-08-16 TAG: 我要投稿

前言
近日,火绒安全团队通过”火绒威胁情报系统”发现蠕虫病毒”Worm/Sharp”正在全网传播,在政府、企业、学校、医院等单位的局域网具有非常强的传播能力。该病毒通过”永恒之蓝”漏洞、多个电脑常用端口传播,入侵电脑后,会横向攻击局域网内所有电脑,同时还会在用户电脑中留下后门病毒,用以执行更多恶意攻击,如勒索病毒、挖矿病毒。
概览
火绒工程师通过技术分析发现,该蠕虫病毒会通过远程服务器和自身爬虫功能收集局域网内的IP列表,然后对其中的多个服务端口发起攻击,包括RPC服务(135端口)、SQLServer服务(1433端口)、FTP服务(21端口),同时还会通过 “永恒之蓝”漏洞,入侵445端口,攻击电脑。
由于该病毒针对企业不便关闭的多个常用端口进行攻击,并且利用了局域网电脑中普遍未修复的”永恒之蓝”漏洞,一旦任何一台电脑被该病毒感染,将意味着局域网内所有电脑都面临被感染的风险,尤其给政企机构用户造成极大威胁。
如果病毒成功入侵或攻击端口,就会从远程服务器下载病毒代码,进而横向传播给局域网内其他电脑。同时,该病毒还会在被感染电脑中留下后门病毒,以准备进行后续的恶意攻击,不排除未来会向用户电脑传播更具威胁性病毒的可能性,例如勒索病毒等。
火绒工程师通过技术溯源发现,从2017年06月23日(甚至更早) 至今,该黑客组织一直使用该系列蠕虫在全网进行大规模的信息收集。且一直保持对病毒的更新。

火绒”企业版”和”个人版”最新版均可彻底查杀蠕虫病毒” Worm/Sharp “。同时,政府、企业、学校、医院等受此类病毒威胁较大的局域网用户,我们建议申请安装”火绒企业版”,可有效防御局域网内病毒屡杀不绝的难题。目前火绒免费提供三个月试用期,欢迎大家前来体验试用。
“火绒企业版”申请试用地址:https://www.huorong.cn/essmgr/essreg。
详细分析
今年上半年,”火绒终端威胁情报系统”检测到Worm/Sharp变种在肆意传播,Worm/Sharp或将卷土重来。该变种通过与C&C服务器进行通讯以及内置的爬虫功能获取目标的IP地址及端口,对RPC服务(135端口)、SQLServer服务(1433端口)、FTP服务(21端口)进行爆破,使用永恒之蓝漏洞对445端口进行入侵,如果入侵或爆破成功则执行脚本从C&C服务器上下载初始样本,初始样本经过多重释放,最终运行Worm/Sharp蠕虫。除此之外还会判断目标IP是否为代理服务器,以及对从C&C服务器获取的路由器IP地址列表发起TCP连接以判断7547端口的连通性,为下一步的攻击做准备。
初始样本执行流程,如下图所示:

初始样本执行流程
原始样本(A22.exe)是经过PECompact加壳过的,在运行过程中会释放lib32Waxe.exe,lib32Waxe.exe带有混淆器在内存中会解压缩.Net恶意代码,并通过调用ComCallPreStub来执行这段.Net恶意代码,之后进入Worm/Sharp核心代码,Worm/Sharp有两大核心功能。核心功能,如下图所示:

病毒核心功能
初始样本(A22.exe)由VB编写并且加了PECompact壳,在执行过程中会释放lib32waxe.exe,并创建服务WaxeSvc,主流程执行完后会启动自删除进程。初始样本主流程,如下图所示:

初始样本执行流程
lib32Waxe.exe带有混淆器在执行过程中解压缩 Worm/Sharp蠕虫代码。载入二进制资源代码,如下图所示:

载入资源
载入的二进制资源经过zlib压缩,zlib版本为1.2.3。解压后可以获得.Net恶意代码。解压缩代码,如下图所示:

解压缩代码
在最后使用CLR API 实现在C++中运行.Net恶意代码,调用Clr.dll中未公开的函数ComCallPreStub运行Worm/Sharp蠕虫。 调用ComCallPreStub函数相关代码,如下图所示:

启动蠕虫代码
该蠕虫分为获取被攻击的IP列表和入侵攻击两部分功能,两部分功能相互协作,不分先后,且两部分功能中的每一个操作均为一个独立线程。
(一) 获取被攻击的IP列表
1. 爬虫功能
该蠕虫内置了爬虫功能,可以根据随机字符串搜索、关键字搜索、与C&C服务器通讯和Weblogs搜索来扩充自己的IP列表,为入侵攻击功能提供数量庞大的主机列表。
1.1 通过搜索引擎搜索随机字符串
该线程会维持一个list列表,当列表中的数量小于等于200时,调用Random_Sting_1函数随机生成字符串,并作为GetList_FromYahooAndBing方法的参数,在Yahoo和Bing 搜索引擎中进行搜索。筛选出符合要求的,进行正则过滤,正则代码如下[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\.[0-9]{1,3}\\:[0-9]{1,5}。

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载