1 詳細說明
近日我捕獲到一個利用Think遠程代碼執行漏洞進行脫庫上傳免殺木馬的最新樣本。樣本文件名爲http://acedgwf.cn/01/js.css(僞裝加密後的php文件),直接打開後展示“js.css”(php語言加密代碼)。如下圖所示:
2 情報來源
經由地址http://acedgwf.cn/01/js.css 捕獲遠控木馬樣本
3 樣本分析
我將從以下三個步驟來進行情報提交:捕獲樣本情報→ 分析解密後門文件代碼→分析域名資產和漏洞影響;
① 首先對以上代碼單獨解密後得出以下html前臺遠控登錄代碼,如下
<title>請勿使用非法用途</title>
<meta http-equiv="content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
過安全狗、雲鎖、阿里雲、360、護衛神、D盾、百度雲、各種殺軟!</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>
登陸代碼運行圖如下:
注:單獨運行此html無可交互功能
② 經深度混淆解密後得到該木馬後門遠控代碼如下:
▲警告:代碼量過大,爲方便預覽,只截取深度解密後的部分代碼,具體請見樣本[2] 如下圖:
③ 域名資產分析
域名:http://acedgwf.cn
當前解析ip:中國 香港 Cloudinnovation 154.196.38.30
無備案;
無子域名;
whois信息:
Domain Name: acedgwf.cn
ROID: 20191121s10001s19347192-cn
Domain Status: ok
Registrant ID: 22cn191114yi6z3q
Registrant: 王藝傑
Registrant Contact Email: [email protected]
Sponsoring Registrar: 杭州電商互聯科技有限公司(原杭州創業互聯科技有限公司)
Name Server: ns6.dnsdun.net
Name Server: ns6.dnsdun.com
Registration Time: 2019-11-21 17:58:27
Expiration Time: 2020-11-21 17:58:27
DNSSEC: unsigned
由此可得,該域名爲 [王藝傑]在杭州電商互聯科技有限公司旗下的 [https://www.eb.com.cn/]所購買的域名;
再由該dns解析可得,此域名的dns服務商爲:【】https://www.dnsdun.com/ 配置的dns服務;
此人Email爲: [email protected];
至於服務器幾何,個人判斷猜測[不確定]應屬於此人在GitHub pages搭建,後期爲了防止其Git倉庫曝光又將自定義域名轉至 [https://www.eb.com.cn/],該域名和服務器爲暫存地 或 該服務器爲 遠控木馬前端登錄地[被隱藏]
威脅情報ioc:
執行三次以上得出以下結果↓
文件 SHA256: 9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da
惡意行爲特徵: 將可讀可寫的內存屬性改爲可讀可執行(通俗講就是篡改數據庫和破壞服務器,進行遠控木馬種植和後門隱藏也包括完全接管該服務器。)
Time & API | Arguments | Status | Return |
---|---|---|---|
2020-05-14 10:56:51 NtProtectVirtualMemory |
process_identifier :3032 stack_dep_bypass :0 stack_pivoted :0 heap_dep_bypass :1 length :4096 protection :32 process_handle :0xffffffff base_address :0x7ff80000 |
1 | 0 |
該域名內包含的文件分析 基本信息如下
樣本名稱
9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da-1589421382
樣本類型
HTML document, ASCII text
樣本大小
2179
MD5
c4c3866721f81f5a29e1b6f3888993a9
SHA1
167b8b7982332ef47ab634f723c21850db5ad400
SHA256
9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da
SSDeep
24:4WY7gYCuFPjs+wLR6J3RC5vmVgGGkkeiaX4UcKLFkG6Z8YzaB2lfq:4rPFo5ueGGKiaXLmJZzxq
危害:
該後門會通過PHP文件後門調取受害者服務器系統設置,脫庫刪庫SQL數據庫文件導出,竊取管理員權限並植入窗口欺騙型病毒{0633EE93-D776-472f-A0FF-E1416B8B2E3A} 篡改註冊表等等一系列操作,最終完全殭屍化受害者服務器。
樣本文件提示:由於此木馬可能存在域名驗證問題,故無法保證完全解密,深度解密失誤會造成的部分代碼缺失。
源文件爲樣本[1],有能力的可以自行解密查看,深度解密後樣本爲[2],
樣本文件待上傳,需要的 評論留郵箱