查看: 4363|回复: 8
收起左侧

[技术原创] 管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵

[复制链接]
火绒工程师
发表于 2021-3-2 18:38:42 | 显示全部楼层 |阅读模式
【快讯】
根据“火绒威胁情报系统”监测,近日,火绒工程师发现多起黑客入侵企业服务器后下载并执行后门病毒的威胁事件。目前,火绒相关防护功能可拦截该攻击,并能扫描查杀该后门病毒。但同时,我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的。


火绒查杀图


火绒拦截图

火绒工程师溯源发现,黑客通过弱口令等方式入侵服务器后,然后通过SQL Server等服务启动cmd.exe来执行powershell脚本,最终下载运行上述后门病毒程序。而该后门病毒疑似为Quasar RAT的变种(一款国外开源远控工具),具备了下载、执行、上传、信息获取与记录等常见的远程控制功能,对用户特别是企业单位具备严重安全威胁。

无独有偶,就在今年2月初,火绒曾发布报告披露多起黑客入侵服务器投放勒索病毒的事件(《留意火绒安全日志!一条勒索病毒攻击链正在持续更新和入侵》)。对此,火绒再次提醒广大用户,尤其是企业服务器管理人员,及时部署安全软件,并定时查看安全日志,对服务器进行加固,避免遭遇上述黑客、病毒攻击。火绒用户如发现异常日志记录,可随时联系我们进行排查。

附:【分析报告】


一、        详细分析
近期,火绒终端威胁情报系统监测到多起黑客入侵服务器后通过执行powershell脚本来下载执行后门病毒的事件。通过查询近一年的相关威胁信息后,我们得到该后门病毒的传播趋势如下图所示:

传播趋势

经代码分析对比,我们推测该后门病毒是由黑客修改Quasar RAT而来。Quasar RAT是国外一款开源的远控工具,具有下载、执行、上传、信息获取与记录等常见的远程控制功能。由于我们不排除后续黑客采用更高威胁的渗透方法及后门模块进行攻击与控制的可能性,所以服务器管理人员应当定期审查系统安全日志,及时发现系统的安全风险并对此进行加固升级。相关入侵流程如下图所示:

入侵流程图

黑客成功入侵服务器后,利用SQL Server等服务启动cmd.exe来下载执行powershell脚本z。当脚本z执行后,会通过62.60.134.103或170.80.23.121下载执行恶意脚本ps1.bmp并拼接好ps2.bmp的下载路径。相关代码如下图所示:

脚本z相关代码

ps1.bmp是混淆后的powershell脚本,当它执行后会下载ps2.bmp到内存并将其解密执行。ps2.bmp实则就是加密后的后门模块。相关代码如下图所示:

脚本ps1.bmp相关代码

解密完成后的ps2.bmp为C#编写的后门模块。当它运行后会随机与C&C服务器(23.228.109.230、www.hyn0hbhhz8.cfwww.ebv5hbhha8.cf、104.149.131.245)进行通信,获取并执行后门指令。连接C&C服务器相关代码如下图所示:

连接C&C服务器

接收、执行后门指令相关代码如下图所示:

接收、执行后门指令

二、        溯源分析
经分析发现,我们推测该后门模块是由病毒作者修改Quasar RAT(github链接: hxxps://github.com/mirkoBastianini/Quasar-RAT)而来。远控功能代码对比如下图所示:

该后门远控功能与Quasar RAT对比

三、        附录
病毒hash



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
OVS + 1 很给力!
柯林 + 1 顶官人

查看全部评分

zay365
头像被屏蔽
发表于 2021-3-2 18:58:29 | 显示全部楼层
http://www.ebv5hbhha8.cf/
数据库用户名密码为root root
心心相印
发表于 2021-3-2 20:22:04 | 显示全部楼层
zay365 发表于 2021-3-2 18:58
http://www.ebv5hbhha8.cf/
数据库用户名密码为root root

火绒拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tcgg1983
发表于 2021-3-2 20:24:10 | 显示全部楼层
卡巴斯基访问 无提示
沧桑浪子
发表于 2021-3-3 13:06:48 | 显示全部楼层
.bmp?不是图片吗?
实际扩展名是啥?
wwwbzhan
发表于 2021-3-3 15:22:48 | 显示全部楼层
360无反应
z68436425
发表于 2021-3-3 15:38:08 | 显示全部楼层
ESET Security

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
发表于 2021-3-3 16:02:36 | 显示全部楼层
沧桑浪子 发表于 2021-3-3 13:06
.bmp?不是图片吗?
实际扩展名是啥?

应该就是个图片
现在流行的新方式,把病毒数据和代码写在图片里,读取后在内存里执行,无文件落地
sskey3
发表于 2021-3-9 11:37:28 | 显示全部楼层
看看,很牛的样子
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 18:42 , Processed in 0.134190 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表