• 总有一朵花是你 美丽中国《美的人》 2019-07-17
  • 【医院抢钱】没商量,【火葬场烧人】没商量。。。[调皮] 2019-07-16
  • 深化殡葬改革 推进移风易俗 胡世忠主持座谈会 2019-07-16
  • 凝聚合作共赢的价值公约数 2019-07-15
  • 2018丹寨万达小镇轮值镇长评选 2019-07-15
  • 三十二万多人取得社会工作者职业资格 2019-07-13
  • 粳米-热门标签-华商生活 2019-07-13
  • “走遍秦皇岛”有效破解城管难题 2019-07-09
  • 《今天我学习》第一集:如何理解党的十九大的鲜明主题 2019-07-09
  • 古人清居生活是啥样?看看这些书画你就知道 2019-07-06
  • 新股上市发行的流通股只占总股本的25%,有些只占总股本的10%,留下了大小非大量减持的后遗症。可以说是带病上市,目的就是不断制造新生资产阶级。 2019-06-29
  • 伊万卡推文上的那句中国谚语,到底啥意思? 2019-06-29
  • 山东京博控股股份有限公司党委书记、董事长马韵升获第十二届人民企业社会责任奖年度人物奖 2019-06-28
  • 玉龙雪山、纳西风情…丽江旅游:卖的不是门票而是文化 未来积极融入东南亚旅游圈 2019-06-28
  • 墨西哥地震与球队进球民众跳跃啥关系?专家:无关 2019-06-25
  • 吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|北京快三走势图一定牛 www.88pwc.com

     找回密码
     注册[Register]

    QQ登录

    只需一步,快速开始

    搜索
    查看: 2639|回复: 26
    上一主题 下一主题

    帮助抖音里的孩子: [PC样本分析] 蠕虫病毒最新变种分析

    [复制链接]
    跳转到指定楼层
    楼主
    hzwsuki 发表于 2019-7-9 18:06 回帖奖励
    使用论坛附件上传样本压缩包时必须使用压缩密码?;?,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
    本帖最后由 hzwsuki 于 2019-7-11 18:55 编辑

    0x1、病毒简介
    该变种延续了以往版本的多个漏洞利用攻击方式,包括永恒之蓝漏洞(MS-17-010)、Apache Struts2远程代码执行漏洞(CVE-2017-5638)、WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)、Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)利用攻击和ipc$爆破攻击,thinkphp5漏洞(CNVD-2018-24942)利用攻击, LNK漏洞(CVE-2017-8464)。木马在攻陷的电脑植入挖矿木马挖矿门罗币,同时下载扫描攻击??槎哉攵跃钟蛲约巴馔鳬P进行扩散攻击。

    0x2、相关文件

    样本信息:download.exe
    样本MD5:  2FE96C33E053E1D243AEB94F3DAD4FEF
    样本大小: 315K
    来源:
    https://www.virustotal.com/gui/file/b1785560ad4f5f5e8c62df16385840b1248fe1be153edd0b1059db2308811048/detection

    样本信息:HidregSvc.exe
    样本MD5:  DFD58F4975C425428A039104FCAF2F39
    样本大小: 5.18MB
    来源:
    https://www.virustotal.com/gui/file/219644f3ece78667293a035daf7449841573e807349b88eb24e2ba6ccbc70a96/detection
    0x3、行为预览

    0x4、分析过程
    download.exe分析
    脱壳

    下载download.exe,发现是upx壳




    用od打开,现在可以看到程序的入口,可以发现入口的特征确实为upx壳的特征:
    UPX压缩后的文件有两个区段,UPX0,UPX1,其中UPX0是一个空的区段,是原程序用来保存代码的地方。而UPX1则是保存被压缩后的程序数据的地方,这是一个二进制的数据流。UPX的解码代码便是使用该数据来进行解码而得到原本的程序。


    pushad                        ;保存寄存器

    mov esi,download.0048E000      ;取UPX1段地址, ESI <- UPX0

    lea edi,dword ptr ds:[esi-0x8D000] ;取UPX0段地址, EDI <- UPX1

    push edi                       ;保存UPX0段到堆栈中                              

    jmp short download.004DC1EA.   ;跳转到解码代码



    确认为upx壳后尝试使用 “esp定律”脱壳

    1.先od加载程序download.exe,此时自然就到了程序的入口点,发现pushad, F8单步执行一步,然后可以看到寄存器区域的esp反色高亮



    2.此时我们在esp高亮处点击右键->选择HW break[ESP],即可下一个硬件断点

    3.可以在”调试“->"硬件断点",来进行查看断点是否下成功
    4.接下来F9运行程序,然后我们可以看到程序断在了第一行,按照规律最下面的jmp,将带领我们跳至oep,也就是程序真正的入口,我们可以在那行用F4,然后再F8单步执行
    5.此时就来到了真正的程序入口点,可以看到程序入口点OEP的特征和通常的Microsoft Visual C++ 6.0的OEP特征非常相似,所以这时我们可大致断定我们找到了OEP
    6.在OEP处右键选择“用OllyDump脱壳调试进程”,去除重建输入表,脱壳保存为本地tkd
    7.这时再把我们保存的tkd.exe拖入PEID中,upx壳已经脱掉。
    HidregSvc.exe分析
    download.exe下载母体病毒HidregSvc.exe程序
    C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2A9NK5P3



    下载到TEMP目录下以HidregSvc.exe执行
    HidregSvc.exe分析
    同样是upx壳,使用上面的方法脱壳分析

    HidregSvc.exe作为母体释放挖矿木马进行挖矿,并且释放扫描???、永恒之蓝攻击???、ipc$爆破攻击??槔枚喔雎┒炊云渌缒越泄セ?/font>

    扫描???

    释放端口扫描??榈侥柯糃:\Windows\tjhdeclci\ztbtutcyi,获取本地IP地址,通过访问//2019.ip138.com/ic.asp 获取所在公网ip地址,将生成的IP段包含本地网络的B段和所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具eybnthwpy.exe对IP地址的139/445端口进行扫描,将扫描结果保存到result.txt。木马同时针对内网以及外网IP地址攻击,导致其具有更大的感染能力。



    永恒之蓝???/strong>
    释放永恒之蓝漏洞攻击??榈侥柯糃:\Windows\tjhdeclci\UnattendGC



    针对开放139/445端口的电脑利用永恒之蓝漏洞(MS-17-010)攻击??榻泄セ?,攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll)

    爆破工具

    俄产4899爆破工具swrpwe.exe-lamescan



    爆破使用的字典

    利用mimikatz搜集登录密码,并利用密码字典进行IPC$远程爆破,爆破登录成功后在目标机器利用WMIC执行远程命令启动木马程序



    ipc$远程爆破??槭头诺侥柯糃:\Windows\tjhdeclci\Corporate


    内置密码字典



    WebLogic WLS组件远程代码执行漏洞(CVE-2017-10271)攻击。



    Struts2远程代码执行漏洞(CVE-2017-5638)攻击。


    Tomcat PUT方式任意文件上传漏洞(CVE-2017-12615)攻击。
    利用漏洞上传名为FxCodeShell.jsp的webshell,利用该webshell下载木马文件并执行




    ThinkPHP V5远程任意代码执行漏洞(CNVD-2018-24942)攻击。


    Weblogic反序列化远程代码执行漏洞(CNVD-C-2019-48814)攻击。


    LNK漏洞(CVE-2017-8464)


    HidregSvc.exe作为母体释放挖矿木马进行挖矿
    安装为计划任务进行启动:

    挖矿木马安装计划任务名kittispwlq:

    启动程序:cmd /c echo Y|cacls C:\Windows\temp\bpafzkyny\uagbet.exe  /p everyone:F



    挖矿木马安装计划任务名pjiizdgtd:
    启动程序:cmd /c echo Y|cacls C:\Windows\bguypjpt\emqagbg.exe  /p everyone:F



    C2服务器下载相应的配置文件cfg.ini


    相应的C2服务器URL地址:

    //uio.hognoob.se:63145/cfg.ini

    //uio.heroherohero.info:63145/cfg.ini

    下载回来的配置文件中包含挖矿流量的矿池地址:

    pxi.hognoob.se:35791

    pxx.hognoob.se:35789


    0x5、处置方式
    1.服务器暂时关闭不必要的端口(如135、139、445);

    2.下载并更新Windows系统补丁,及时修复MS17-010补丁以及CVE-2017-8464漏洞补??;

    3.定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,安装服务器端的安全软件;

    4.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力北京快三走势图一定牛;

    5.使用安全产品查杀木马文件及进程;

    6.中毒电脑可参考以下提示手动清理:


    删除文件:


    download.exe


    HidregSvc.exe


    删除目录:


    C:\Windows\inf

    C:\Windows\System32

    C:\Windows\Registration

    C:\Windows\IME

    C:\Windows\bguypjpt

    C:\Windows\tjhdeclci


    删除所有新增的计划任务名,如:


    计划任务名:kittispwlq,


    启动程序:cmd /c echo Y|cacls C:\Windows\temp\bpafzkyny\uagbet.exe  /p everyone:F


    计划任务名:pjiizdgtd


    启动程序:cmd /c echo Y|cacls C:\Windows\bguypjpt\emqagbg.exe  /p everyone:F

    免费评分

    参与人数 14威望 +2 吾爱币 +19 热心值 +14 收起 理由
    Hmily + 2 + 7 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
    unity_dev + 1 + 1 用心讨论,共获提升!
    liang681418 + 1 + 1 谢谢@Thanks!大佬
    念念orz + 1 + 1 我很赞同!
    晓风vs残月 + 1 + 1 热心回复!
    ciye7 + 1 + 1 谢谢@Thanks!
    dreamlivemeng + 1 + 1 谢谢@Thanks!
    寻常巷陌” + 1 + 1 用心讨论,共获提升!
    hackcat + 1 鼓励转贴优秀软件安全工具和文档!
    静叶流云 + 1 + 1 用心讨论,共获提升!
    小淘气520 + 1 + 1 大佬牛B
    无疆北月 + 1 + 1 谢谢@Thanks!
    北京快三走势图一定牛 www.88pwc.com + 1 + 1 高手
    陈世界 + 1 + 1 用心讨论,共获提升!

    查看全部评分

    本帖被以下淘专辑推荐:

    发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

    推荐
    ANIMAX 发表于 2019-7-10 00:56
    大佬啊,看的眼花缭乱的这些代码。。
    推荐
    lmh2932261247 发表于 2019-7-9 22:19
    可以说一下,这里面有哪些语言,哪些工具吗,od,然后脱壳,还有什么俄产,我觉得我看懂有点难,哈哈,楼主说一下,“有哪些语言,哪些工具吗就好”
    沙发
    Joduska 发表于 2019-7-9 18:18
    3#
    as1329 发表于 2019-7-9 18:36
    大哥,,,,排个版吧,,,,,标签都出来了.......看的脑阔疼...
    4#
    NHloser 发表于 2019-7-9 18:39
    这排版  看着头大
    字我几乎都认识。。。
    6#
    lff520520 发表于 2019-7-9 21:44
    大佬教程分析就是不一样
    8#
    孤狼微博 发表于 2019-7-9 22:57
    反正你是高手,虽然看懂了只有几句
    9#
    天蝎浪花 发表于 2019-7-9 23:54
    看这计划任务很熟悉,怎么知道它是挖矿木马?有没有更进一步的分析
    您需要登录后才可以回帖 登录 | 注册[Register]

    本版积分规则 警告:禁止回复与主题无关内容,违者重罚!

    快速回复 收藏帖子 返回列表 搜索

    RSS订阅|小黑屋|联系我们|北京快三走势图一定牛 ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

    GMT+8, 2019-7-22 00:05

    Powered by Discuz!

    © 2001-2017 Comsenz Inc.

    快速回复 北京快三走势图一定牛 返回列表
  • 总有一朵花是你 美丽中国《美的人》 2019-07-17
  • 【医院抢钱】没商量,【火葬场烧人】没商量。。。[调皮] 2019-07-16
  • 深化殡葬改革 推进移风易俗 胡世忠主持座谈会 2019-07-16
  • 凝聚合作共赢的价值公约数 2019-07-15
  • 2018丹寨万达小镇轮值镇长评选 2019-07-15
  • 三十二万多人取得社会工作者职业资格 2019-07-13
  • 粳米-热门标签-华商生活 2019-07-13
  • “走遍秦皇岛”有效破解城管难题 2019-07-09
  • 《今天我学习》第一集:如何理解党的十九大的鲜明主题 2019-07-09
  • 古人清居生活是啥样?看看这些书画你就知道 2019-07-06
  • 新股上市发行的流通股只占总股本的25%,有些只占总股本的10%,留下了大小非大量减持的后遗症。可以说是带病上市,目的就是不断制造新生资产阶级。 2019-06-29
  • 伊万卡推文上的那句中国谚语,到底啥意思? 2019-06-29
  • 山东京博控股股份有限公司党委书记、董事长马韵升获第十二届人民企业社会责任奖年度人物奖 2019-06-28
  • 玉龙雪山、纳西风情…丽江旅游:卖的不是门票而是文化 未来积极融入东南亚旅游圈 2019-06-28
  • 墨西哥地震与球队进球民众跳跃啥关系?专家:无关 2019-06-25
  • 浙江11选5跨度走势图百度 湖北11选5开奖 秒速飞艇怎么玩 天津十一选五现场开奖 大星彩票走势图5 体彩p3彩乐乐 河南22选5开奖现场 意甲球员 加拿大快乐8官网开奖结果 无错四头中特公式规律 澳洲幸运8平台 时时彩四星组选12技巧 湖北快三开奖结果推荐 河北十一选五一定牛走试图 江西多乐彩号码参考