欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

流行威胁之情报速递-Morto蠕虫

来源:本站整理 作者:佚名 时间:2017-05-06 TAG: 我要投稿

威胁概述
Morto恶意代码家族是一种内网传播的蠕虫,最早于2011年被趋势科技披露。360威胁情报中心的监测显示在国内该家族到目前都非常活跃,需要网络安全管理员引起重视进行处理。
通过对该家族所使用的C&C域名的监控,我们看到最近一个月中该恶意代码的感染情况如下图:

感染的IP分布大致如下:

其中在国内各省份的感染分布状态如下:

威胁情报
以下是威胁相关的情报,读者可以根据需要进行对应的处理,360所有支持威胁情报的产品(天眼、NGSOC、智慧防火墙等)都已经内置了检测。

 
技术分析
整体而言,恶意代码分为三个部分,maindrop,loader,payload。
maindrop
该模块主要用于运行环境初始化,相应模块的释放。
通过IDA加载之后发现样本的导入函数表如下,通常样本为了防止研究员分析会采取动态函数的方式获取需要调用的API的地址,使用Loadlibrary/GetProAddress的方式加载,但是这个地方发现导入函数中并不包含这两个基本的函数。

因此怀疑该样本使用了shellcode中常用的API获取方式,即通过fs获取kernel32基地址,并解析该dll导出函数的方式获取必要的API。
分析代码之后发现,该函数确实通过fs这个寄存器获取了当前进程加载的dll信息,并从中遍历出kernel32的地址。

可以看到获取对应的基地址之后通过解析其导出表获取对应的函数,如下图所示:

之后解密并运行,如下图所示创建以下几个注册表项,并释放出Loader clb.dll。

其中上述的注册表HKLM\\SYSTEM\\WPA\\md中保存了对应加密版的payloader,可以看到其长度为444402。

之后maindrop开启一个regedit.exe进程。
loader
注册表进程默认的情况下会加载clb.dll这个dll,maindrop之前在windows目录下已经释放了同名的恶意clb.dll,由于Windows的dll加载机制,此处将导致regedit进程将恶意的clb.dll加载。


clb.dll运行之后会从HKLM\\SYSTEM\\WPA\\md中解密出对应的payload并加载运行,之后会创建以下两个文件,cache实际为一个loader。
C:\WINDOWS\Offline Web Pages\cache.txt
C:\WINDOWS\system32\Sens32.dll
payload
payload主要用于和远程进行通信并实现RDP扫描。
杀软对抗
运行之后针对主流杀软做了相应的监控。
Ekrn,avguard,360rp,zhudongfangyu,RavMonD,kxescore,KVSrvXP,ccSvcHst,avgwdsvc,MsMpEng,vsserv,mcshield,fsdfwd,GDFwSvc,coreServiceShell,avp,MPSvc,PavFnSvr,knsdave,AvastSvc,avpmapp,SpySweeper,K7RTScan,SavService,Vba32Ldr,scanwscs,NSESVC.EXE,FortiScand,FPAVServer,a2service,freshclam,cmdagent,ArcaConfSV,ACAAS
 下图为其中对360的监控代码:

C&C通信
在更新线程里,蠕虫尝试连接内置的硬编码域名,所下图所示,不同变种会有所区别。

和CC的通讯是通过DNS查询实现的,对内置的域名进行DNS查询,查询类型为DNS_TYPE_TEXT,通过这种方式实现和C&C的通讯。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载