近日,“永恒之藍(lán)”WanaCry蠕蟲(chóng)勒索病毒肆虐全球��,引起了網(wǎng)民高度重視�,同時(shí)也引起了很多黑客的注意,據(jù)瑞星安適研究人員介紹��,在眾多漏洞利用的攻擊者中�����,發(fā)現(xiàn)了一名ip地址位于中國(guó)的黑客���。該黑客利用“永恒之藍(lán)”漏洞把木馬發(fā)送到被攻擊機(jī)器����,然后控制機(jī)器構(gòu)建僵尸網(wǎng)絡(luò)����,目前已有上千臺(tái)機(jī)器感染,未來(lái)還會(huì)造成更大的傷害����。
圖:受影響IP全國(guó)分布
該攻擊最先由安適研究人員通過(guò)蜜罐捕獲。蜜罐捕獲到來(lái)了自IP 地址182.18.23.38 (此ip地址位于中國(guó))的攻擊,被攻擊端口是 445 端口�,后經(jīng)分析發(fā)現(xiàn),攻擊使用的漏洞正是永恒之藍(lán)漏洞��。病毒作者攻擊后會(huì)發(fā)送帶有木馬程序的Payload�,之后Payload下載RAT遠(yuǎn)控木馬實(shí)現(xiàn)機(jī)器的完全控制,從木馬的編譯時(shí)間來(lái)看���,還要早于WannaCry。
雖然此木馬不會(huì)像WannaCry一樣主動(dòng)傳播��,也不會(huì)加密計(jì)算機(jī)中的文件�����,勒索贖金����。但是病毒作者可以使用遠(yuǎn)控木馬,完全控制被攻擊計(jì)算機(jī)��?�?刂朴?jì)算機(jī)之后可以做任何事情����。其中就有竊取文件��,監(jiān)控屏幕�����,監(jiān)控?cái)z像頭����,監(jiān)聽(tīng)麥克風(fēng)��,所以對(duì)受害者而言��,受到的傷害并不比勒索要小����。
此外,比來(lái)捕獲的一些樣本表白��,泄露的漏洞除了被用于傳播勒索病毒����,傳播木馬之外。還有一些攻擊者使用泄露的漏洞和攻擊兵器傳播挖礦病毒����,使受害者計(jì)算機(jī)cpu����、顯卡使用率飆升����。導(dǎo)致計(jì)算機(jī)溫度過(guò)高,機(jī)器嚴(yán)重卡頓���,無(wú)法完成正常工作����。還有一些攻擊者��,使用漏洞抓肉雞����,組建僵尸網(wǎng)絡(luò)��。這些僵尸網(wǎng)絡(luò)可被用來(lái)DDOS攻擊���,�,對(duì)企業(yè)、社會(huì)造成極大的危害��。有數(shù)據(jù)表白��,60%的小企業(yè)會(huì)在遭受DDOS攻擊 6 個(gè)月內(nèi)倒閉��。
詳細(xì)分析:
攻擊者 首先通過(guò)網(wǎng)絡(luò) 向被攻擊目標(biāo)�����,發(fā)送可以觸發(fā)漏洞的網(wǎng)絡(luò)數(shù)據(jù)流�。一旦攻擊成功,攻擊者將通過(guò)這條通道��,發(fā)送一個(gè)二進(jìn)制DLL文件���,完成進(jìn)一步的控制���,下文中我們將此文件稱(chēng)作Payload。
Payload分析
1�����、攻擊過(guò)程邏輯如下:
圖-攻擊過(guò)程
圖-Payload執(zhí)行過(guò)程
2���、病毒各部分功能:
表-各部分功能
3���、Payload運(yùn)行之后首先調(diào)用InWMI 函數(shù)將硬編碼的Jscript腳本注冊(cè)為WMI中的永久事件消費(fèi)者�。當(dāng)與其綁定的時(shí)間到達(dá)時(shí)�,就會(huì)被觸發(fā)執(zhí)行預(yù)先定義好的Jscript腳本,此方式較為隱蔽�����。
圖-注冊(cè)WMI事件消費(fèi)者
圖-硬編碼的腳本
腳本的功能是:
(1)拜候指定網(wǎng)頁(yè)獲取要結(jié)束的進(jìn)程列表
圖-獲取進(jìn)程列表代碼
網(wǎng)頁(yè):8888/kill.html 中的進(jìn)程列表
圖-獲取到的進(jìn)程列表
進(jìn)程列表 :
表-結(jié)束的進(jìn)程
(2)讀取列表�,結(jié)束指定進(jìn)程,刪除指定文件
這些被結(jié)束的進(jìn)程����,刪除的文件,都是已知的一些病毒常用的名稱(chēng)���。作者這樣做的目的是為了更加便利的控制受害者的計(jì)算機(jī),防止被另外病毒干擾��。而且也可以防止另外病毒引起的計(jì)算機(jī)異常時(shí)��,受害者排查的時(shí)候發(fā)現(xiàn)本身�。
圖-結(jié)束進(jìn)程�����,刪除文件
(3)下載并運(yùn)行指定程序
拜候網(wǎng)頁(yè)wmi.mykings.top:8888/test.html 下載遠(yuǎn)控木馬主體
圖-下載運(yùn)行指定程序
(4)運(yùn)行RAT遠(yuǎn)控木馬主體
c:\\windows\\debug\\item.dat
圖-運(yùn)行遠(yuǎn)控木馬主體
至此注冊(cè)WMI事件的Jscrpit腳本功能完成�。
4.聯(lián)網(wǎng)獲取控制指令
Payload中除了注冊(cè)WMI之外���,還會(huì)拜候網(wǎng)絡(luò)����,獲取控制指令
首先拜候:8888/ok.txt 將內(nèi)容讀取到緩沖區(qū)中
然后解析數(shù)據(jù)���,讀取控制指令�����,按照控制指令執(zhí)行對(duì)應(yīng)的功能
讀取到[down]指令
則從后面的網(wǎng)址:8888/close.bat下載文件
生存為c:\windows\debug\c.bat
圖-下載c.bat命令
c.bat的主要功能是關(guān)閉端口��,防止利用同樣漏洞的病毒再進(jìn)入受害者計(jì)算機(jī)���,導(dǎo)致本身的遠(yuǎn)控?zé)o法正常工作。
圖-關(guān)閉端口代碼
讀取到[cmd]指令
則執(zhí)行后面的批處理命令
圖-cmd批處理命令
批處理命令的功能和Jcript腳本功能類(lèi)似 ���,增加刪除賬戶(hù)的功能���,結(jié)束的進(jìn)程也有變革��。
刪除以下賬戶(hù)
表-刪除的賬戶(hù)
結(jié)束指定進(jìn)程刪除文件
表-結(jié)束的進(jìn)程
運(yùn)行之前[down]命令下載的 c:\windows\debug\c.bat
圖-運(yùn)行c.bat代碼
圖-運(yùn)行木馬主體代碼
木馬主體分析
木馬主體加了殼��,反匯編無(wú)效��,動(dòng)態(tài)調(diào)試也很困難
圖-加殼信息
圖-區(qū)段信息
圖-入口代碼
但是通過(guò)字符串和執(zhí)行的流程��,發(fā)現(xiàn)了此木馬是由開(kāi)源遠(yuǎn)程控制軟件的代碼修改而來(lái)
開(kāi)源代碼結(jié)構(gòu):
圖-開(kāi)源代碼結(jié)構(gòu)
木馬運(yùn)行之后��,執(zhí)行初始化操作���,初始化完成之后創(chuàng)建監(jiān)聽(tīng)線(xiàn)程等待遠(yuǎn)程控制辦事器連接。按照遠(yuǎn)程發(fā)來(lái)的指令執(zhí)行差別的功能��。
執(zhí)行流程:
圖-木馬執(zhí)行流程
創(chuàng)建監(jiān)控線(xiàn)程線(xiàn)程�����,回調(diào)函數(shù)中
keepAlive 等待控制指令����,收到控制指令后按照指令 執(zhí)行對(duì)應(yīng)的功能
圖-監(jiān)控線(xiàn)程源碼
圖-監(jiān)控線(xiàn)程反匯編代碼
此木馬的主要功能有
表-控制碼功能
對(duì)應(yīng)代碼:
具體防范防御辦法:
1��、安置系統(tǒng)補(bǔ)丁或開(kāi)啟Windows Update。
2�����、在條件允許的情況下����,關(guān)閉 445 端口。
3�、安置、升級(jí)專(zhuān)業(yè)的防病毒產(chǎn)品���,開(kāi)啟全部監(jiān)控功能���。
