查看: 2972|回复: 2
收起左侧

[技术原创] 刷量神器藏漏洞攻击陷阱 数十万自媒体电脑沦为肉鸡

[复制链接]
腾讯电脑管家
发表于 2018-6-21 17:46:27 | 显示全部楼层 |阅读模式


1.背景
近日腾讯御见威胁情报中心监控发现,一款名为“流量宝流量版”的软件,在运行时会自动请求带有CVE-2018-8174漏洞(浏览器高危漏洞)的URL,URL在软件的内置IE浏览器中触发CVE-2018-8174漏洞并执行shellcode,然后下载天罚DDoS木马、远程控制木马,控制电脑成为肉鸡。该漏洞攻击URL日累计访问次数最高达30多万次。


据了解,流量宝软件为网站流量刷量(作弊)工具,多用于自媒体文章阅读量及网店流量刷量。由于相关内容运营者有较强烈的刷量需求,致使流量宝工具使用量较高,当这款刷量工具开始内置漏洞攻击病毒传播时,中毒电脑数量在很短时间内就高居病毒排行榜前列。



此次染毒的流量宝刷量工具来自多个软件下载站,这些网站均做过搜索优化,当用户搜索“流量宝”时,将出现在搜索结果的前列。


当流量宝内置的漏洞攻击被触发时,中毒电脑将会下载多个恶意病毒文件,包括:DDoS攻击工具、远程控制木马,以及门罗币挖矿病毒。病毒传播者会充分利用肉鸡电脑资源,随时可以对其他目标发起网络攻击,攻击内部局域网其他电脑,窃取肉鸡电脑机密文件,以及利用肉鸡电脑挖矿赚钱。



攻击流程

2. 详细分析
2.1 传播渠道
腾讯御见威胁情报中心监测发现,用于刷网站流量的 “流量宝流量版.exe”、“流量宝挂机版.exe”、“ggtbviewer”(旺宝)、“天天挂机1.1.50.exe”等软件请求带有漏洞的恶意html文件(hxxp://111.73.46.110:2233/3.html)并触发CVE-2018-8174漏洞。


这些恶意软件在运行时不会立即请求漏洞URL,而是在运行3个多小时之后,才接受云控指令开始访问漏洞攻击URL。


软件开始运行后的流量数据,在第1097159条包数据开始出现漏洞URL的请求,此时距离软件开始运行已有3个多小时。




hxxp://111.73.46.110:2233/3.html的请求



漏洞URL及木马下载地址




2.2 漏洞利用
111.73.46.110:2233/3.html是攻击者根据CVE-2018-8174漏洞构造的利用代码



漏洞触发后执行111.73.46.110:2233/wm.hta



wm.hta通过powershell下载debug.exe



2.3. debug.exe分析
首先提高进程权限,然后从111.73.46.110下载1.exe、2.exe,sleep等待一段时间,然后执行下载的1.exe,2.exe。



2.4. 1.exe分析
样本使用UPX壳,脱壳后是“天罚DDoS”木马,从木马样本的字符信息可以看出该样本为8.0版本



拷贝自身到C:\Windows\xehbug.exe




创建服务并启动



根据控制端返回的命令进行DDoS攻击或下载其他木马并执行



DDoS攻击代码



2.5. 2.exe分析
样本同样使用UPX壳,脱壳后是远程控制木马

木马拷贝自身到C:\Windows\WinQutoUpdate.com并创建为服务



通过创建VBS文件将原文件2.exe删除



木马等待服务端命令



根据服务端返回的指令,执行安装插件、设置代{过}{滤}理、提高权限、读取日志

重写注册表等操作。



3. 关联分析
跟踪分析发现,此次攻击使用的C2地址还在不断更新中,截止2018.6.21已经发现5个地址。通过这些C2地址下面传播的的木马略有不同,但主要类型为DDoS木马,挖矿木马以及后门木马。

3.1 C2地址:111.73.46.87
“流量宝流量版.exe”软件同时使用另外一个C2地址111.73.46.87进行木马传播。



hxxp://111.73.46.87:1986/4.html是经过混淆的CVE-2018-8174漏洞利用代码



漏洞利用成功后执行hxxp://111.73.46.87:1986/wm.hta传播木马exe文件。hxxp://111.73.46.87:1986/2.exe是“鬼影DDoS”木马。木马启动后将自身创建为服务实现自启动,然后通过弱口令字典尝试访问内网IPC$共享进行感染,然后等待服务端命令进行DDoS攻击或CC攻击。



3.2 C2地址:www.wulei168.pw
通过关联分析发现,另一款刷流量软件流量精灵(ipjingling.exe)通过请求hxxp://www.wulei168.pw:1235/3.html(现已失效)发起过类似攻击,该URL访问时同样触发CVE-2018-8174漏洞,然后执行8174.hta通过powershell下载sql.exe,sql.exe下载挖矿木马ut.exe进行门罗币挖矿。



(3.html目前已被去除)



(8174.hta下载sql.exe)



(sql.exe下载ut.exe)



(ut.exe安装门罗币挖矿木马conhost.exe)



(conhost.exe挖矿代码)


矿池地址:miner.free.xmrig.com

钱包:

48edfHu7V9Z84YzzMa6fUueoELZ9ZRXq9VetWzYGzKt52XU5xvqgzYnDK9URnRoJMk1j8nLwEVsaSWJ4fhdUyZijBGUicoD

钱包信息:




4.安全建议
4.1 不使用来历不明的软件。

4.2 及时升级系统补丁,避免遭受漏洞攻击。

4.3 安装腾讯电脑管家拦截危险程序下载。

4.4 开网店或自媒体作者如果使用过流量宝工具,建议使用腾讯电脑管家查杀。


IOCs
域名:

www.wulei168.pw

666.926cs.com


IP:

111.73.46.110

111.73.46.87

222.186.15.191

123.249.9.144

47.93.38.159


C2:

111.73.46.110:2233

111.73.46.87:1986

wulei168.pw:1235

123.249.9.144:2314

47.93.38.159:8080


URL:

hxxp://111.73.46.110:2233/1.exe

hxxp://111.73.46.110:2233/2.exe

hxxp://111.73.46.110:2233/wm.hta

hxxp://111.73.46.110:2233/3.html

hxxp://111.73.46.110:2233/debug.exe

hxxp://111.73.46.87:1986/1.exe

hxxp://111.73.46.87:1986/2.hta

hxxp://111.73.46.87:1986/4.html

hxxp://111.73.46.87:1986/sql.exe

hxxp://111.73.46.87:1986/wm.hta

hxxp://www.wulei168.pw:1235/3.html

hxxp://www.wulei168.pw:1235/sql.exe

hxxp://www.wulei168.pw:1235/ut.exe

hxxp://www.wulei168.pw:1235/8174.hta

hxxp://123.249.9.144:2314/crezx.exe

hxxp://123.249.9.144:2314/Hex.hta

hxxp://123.249.9.144:2314/lassx.exe

hxxp://123.249.9.144:2314/ml.exe

hxxp://47.93.38.159:8080/8174.hta

hxxp://47.93.38.159:8080/VMwarerss.exe

hxxp://666.926cs.com/32.hta


md5

987b7da111d965f9e26fe80839dee040

d0fc32adbc164f3a06e1f17f7087bb6b

e8bb58bd873ba7252d9da5d0955b2abe

3184573b2572d15592046dcdb765af59

6d6088bea0ef07b2ae522e67629be303

052b4fe464099eaedc308ba47e06214c

d3cdb15dd2134862b4587836800609ec

265a23f333162ecccf2f9433b14b2925

1d57f6c6923e0ab06f31736ee693927f

ed04b044116321a82afaa87f645b9a28

57a5d09c378fe9d5ba70ce6576af7cf3

17c3b359c60402fdcc04fc31520c0240

9602046979cd9988a5dea960f0bc6f0d

ed7b284995449e00f19ca212fa1db3b6

5d79443681d026d7314f3245befe06c9

ee64c2369304740ca5dec6e6bfd1b36d

f4d759253e0d5fe2096a5c2d69cac561

38bb005626999935b5149d9536413f76

f4d759253e0d5fe2096a5c2d69cac561

9602046979cd9988a5dea960f0bc6f0d

3e1124bffa4c2628c6e130f2538a1d31

6bef33e18cb30df0ae09687ab6f1176d

09ab31116925fadd20c0df33fc5ac72b

ac4cc71d075c43fa356bf70300c2db84

e36bed9bca48d771f020ca084e0c77b1


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-6-21 22:04:33 | 显示全部楼层
必须顶一下,官人们辛苦了!
色彩之狐
头像被屏蔽
发表于 2018-6-22 22:06:42 | 显示全部楼层
那个应用程序名字本就不正常还安那就是傻
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 12:02 , Processed in 0.362698 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表