欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

研究运用永恒之蓝漏洞破绽感染的RAT

来源:本站整理 作者:佚名 时间:2017-09-12 TAG: 我要投稿
Virustotal上发明的这个歹意软件从如下链接可如下载:
http://67[.]229.144.218:8888/test1.dat
http://47[.]88.216.68:8888/test.dat
http://47[.]52.0.176:8888/item.dat
http://118[.]190.50.141:8888/test.dat
这意味着进击者用上述的IP作为节制端,而且依据Virustotal供给的谍报,歹意软件彷佛影响了多个地域。

样本第一次呈现Virustotal是在2017年4月2号,从那今后 咱们在Virustotal曾经发明了12 个类似的样本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这注解他们在2017.5.12号WannaCry迸发以前,曾经经由过程“永恒之蓝”停止过进击。
这个样本是经由过程 Safengine Shielden 壳来防护的。

item.dat的防护壳
这个样本是一个RAT,容许进击者拜访和节制受沾染的机械

正在运转的item.dat的内存dump
基于以上的字符串,咱们发明ForShare 8.28软件与其有类似的地方,这个法式属于中国的网站。
http://en.pudn.com/downloads758/sourcecode/windows/detail3014472_en.html
http://www.codeforge.cn/read/287854/MyClientTran.cpp__html

在网站上发明的ForShare 8.28 GUI
基于源码咱们确认这款歹意软件是 ForShare RAT其中的一个版本,这个RAT有如下很多“特工”的特性:
接收并履行来自服务器的指令
监控屏幕
音视频监控
监控键盘
文件和数据传输
文件删除
停止过程
文件履行
罗列文件和过程
文件下载
节制机械
如下是RAT的一个敕令片断

Close.bat
这个歹意软件一个风趣的行动是经由过程履行close.bat文件来封闭445端口。 Close.bat 或许 c.bat包括如下的代码:

这也是一个目标注解歹意软件是经由过程“永恒之蓝”流传的,而且封闭了445端口。因为进击者不盼望其余的进击者影响他们的运动。咱们相信此次进击背后的团队跟在二月份发明 spreads Mirai via Windows Kaspersky是统一个团队。咱们发明了他们IOCs的类似的地方。
论断
WannaCry打单病毒以普遍的流传和巨大的破话性向这个天下通报一个激烈的信息。很显著这个信息便是:收集上有很多体系轻易遭到收集进击。咋一看咱们发明的这个威逼不像WannaCry打单病毒破坏性大,然则风险大与否重要取决于进击者的用意。重要的有用载荷是一个RAT,咱们都清晰一旦歹意进击者进入到你的企业外部会产生甚么。而且假如WannaCry没有迸发,咱们能够都不清晰收集上会有若干有漏洞的体系能够停止0day进击,这也许是更风险的。最伤你心的是那些你看不见的器械。
分外感激Joe Dela Cruz,  Alex Burt, Abhijit Mohanta和Cyphort 实验室的其余成员对付阐发和发明此次威逼授与的赞助。
IOC
Files
C:\Windows\debug\c.bat
C:\Windows\debug\item.dat
SHA256
E6fc79a24d40aea81afdc7886a05f008385661a518422b22873d34496c3fb36b
0108036951155a66879491ffc499cdb1e451e9ade58d62521a49a07aa4c79b74
25db9243e3fb0b18a8847c001b05c02b3cc686752a2e4ae28c4678d513b48e6f
b899ba1e426b838dd75d541cfe48d08a49453fb901e2808a15bbb44e08983d68
19fce399808befd7dfe92a0ab7cd006357f0d3a8a519a14953a3d217cca8ae48
557b13d6562b780612d932a6c0513acd8316885357b70ba5a8aedbbaa83668a9
56a35e6de83b7a6e9ecb731a5a636e91ab32899eb90fbec24c8f4d40467ca5d9
ec7fd8909baaf79077368dd113294c43e7269b323473e8825e73f64e2f71d0af
ceef5ea176716e225cc2389f0629b4d1ae3edb83c490c70f415c51a1b5118c19
05104184573f666dbf000c8150fc17c186e98de2c33f4177a406d125af751388
4d5cf13167537ce422ad0fe00f60ac523defde5ad0304a1d04eed77e9d590df0

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载