近日�����,“永恒之藍”WanaCry蠕蟲勒索病毒肆虐全球����,引起了網民高度重視���,同時也引起了很多黑客的注意,據瑞星安適研究人員介紹����,在眾多漏洞利用的攻擊者中�����,發現了一名ip地址位于中國的黑客。該黑客利用“永恒之藍”漏洞把木馬發送到被攻擊機器�����,然后控制機器構建僵尸網絡��,目前已有上千臺機器感染����,未來還會造成更大的傷害�����。
圖:受影響IP全國分布
該攻擊最先由安適研究人員通過蜜罐捕獲��。蜜罐捕獲到來了自IP 地址182.18.23.38 (此ip地址位于中國)的攻擊�����,被攻擊端口是 445 端口,后經分析發現��,攻擊使用的漏洞正是永恒之藍漏洞。病毒作者攻擊后會發送帶有木馬程序的Payload��,之后Payload下載RAT遠控木馬實現機器的完全控制��,從木馬的編譯時間來看�����,還要早于WannaCry����。
雖然此木馬不會像WannaCry一樣主動傳播�,也不會加密計算機中的文件��,勒索贖金����。但是病毒作者可以使用遠控木馬�����,完全控制被攻擊計算機�����?�?刂朴嬎銠C之后可以做任何事情。其中就有竊取文件����,監控屏幕��,監控攝像頭��,監聽麥克風�����,所以對受害者而言���,受到的傷害并不比勒索要小�����。
此外,比來捕獲的一些樣本表白��,泄露的漏洞除了被用于傳播勒索病毒,傳播木馬之外。還有一些攻擊者使用泄露的漏洞和攻擊兵器傳播挖礦病毒,使受害者計算機cpu�、顯卡使用率飆升�����。導致計算機溫度過高,機器嚴重卡頓��,無法完成正常工作��。還有一些攻擊者����,使用漏洞抓肉雞��,組建僵尸網絡。這些僵尸網絡可被用來DDOS攻擊�����,�����,對企業��、社會造成極大的危害�。有數據表白�����,60%的小企業會在遭受DDOS攻擊 6 個月內倒閉��。
詳細分析:
攻擊者 首先通過網絡 向被攻擊目標,發送可以觸發漏洞的網絡數據流���。一旦攻擊成功��,攻擊者將通過這條通道�����,發送一個二進制DLL文件�����,完成進一步的控制����,下文中我們將此文件稱作Payload�����。
Payload分析
1、攻擊過程邏輯如下:
圖-攻擊過程
圖-Payload執行過程
2、病毒各部分功能:
表-各部分功能
3���、Payload運行之后首先調用InWMI 函數將硬編碼的Jscript腳本注冊為WMI中的永久事件消費者。當與其綁定的時間到達時��,就會被觸發執行預先定義好的Jscript腳本���,此方式較為隱蔽��。
圖-注冊WMI事件消費者
圖-硬編碼的腳本
腳本的功能是:
(1)拜候指定網頁獲取要結束的進程列表
圖-獲取進程列表代碼
網頁:8888/kill.html 中的進程列表
圖-獲取到的進程列表
進程列表 :
表-結束的進程
(2)讀取列表��,結束指定進程����,刪除指定文件
這些被結束的進程,刪除的文件,都是已知的一些病毒常用的名稱��。作者這樣做的目的是為了更加便利的控制受害者的計算機��,防止被另外病毒干擾�。而且也可以防止另外病毒引起的計算機異常時,受害者排查的時候發現本身�����。
圖-結束進程��,刪除文件
(3)下載并運行指定程序
拜候網頁wmi.mykings.top:8888/test.html 下載遠控木馬主體
圖-下載運行指定程序
(4)運行RAT遠控木馬主體
c:\\windows\\debug\\item.dat
圖-運行遠控木馬主體
至此注冊WMI事件的Jscrpit腳本功能完成���。
4.聯網獲取控制指令
Payload中除了注冊WMI之外,還會拜候網絡��,獲取控制指令
首先拜候:8888/ok.txt 將內容讀取到緩沖區中
然后解析數據���,讀取控制指令���,按照控制指令執行對應的功能
讀取到[down]指令
則從后面的網址:8888/close.bat下載文件
生存為c:\windows\debug\c.bat
圖-下載c.bat命令
c.bat的主要功能是關閉端口�����,防止利用同樣漏洞的病毒再進入受害者計算機�,導致本身的遠控無法正常工作����。
圖-關閉端口代碼
讀取到[cmd]指令
則執行后面的批處理命令
圖-cmd批處理命令
批處理命令的功能和Jcript腳本功能類似 ,增加刪除賬戶的功能�,結束的進程也有變革����。
刪除以下賬戶
表-刪除的賬戶
結束指定進程刪除文件
表-結束的進程
運行之前[down]命令下載的 c:\windows\debug\c.bat
圖-運行c.bat代碼
圖-運行木馬主體代碼
木馬主體分析
木馬主體加了殼,反匯編無效�����,動態調試也很困難
圖-加殼信息
圖-區段信息
圖-入口代碼
但是通過字符串和執行的流程�����,發現了此木馬是由開源遠程控制軟件的代碼修改而來
開源代碼結構:
圖-開源代碼結構
木馬運行之后����,執行初始化操作����,初始化完成之后創建監聽線程等待遠程控制辦事器連接���。按照遠程發來的指令執行差別的功能�����。
執行流程:
圖-木馬執行流程
創建監控線程線程�����,回調函數中
keepAlive 等待控制指令,收到控制指令后按照指令 執行對應的功能
圖-監控線程源碼
圖-監控線程反匯編代碼
此木馬的主要功能有
表-控制碼功能
對應代碼:
具體防范防御辦法:
1�����、安置系統補丁或開啟Windows Update。
2�、在條件允許的情況下���,關閉 445 端口。
3����、安置、升級專業的防病毒產品��,開啟全部監控功能���。
