BAT代表了利用互联网发财的光鲜一面,与之相对的黑暗面的黑产也会穷尽自己的想象力来最大化自己的收益,在这方面黑产可谓八仙过海,各显其能。有窃取数据转卖实现财务自由的,及时收手的落得这辈子吃喝不愁,贪得无厌的在近期日益严厉的打击下最后吃了牢饭。除了在数据上打主意,我们看到也有通过榨取设备计算能力发些小财的,近期,天眼实验室跟踪了一些通过利用这些NDay漏洞攻击服务器获取控制自动化植入挖矿木马的团伙,给大家分析一个真实的案例。

希望这次的小小暴光能引起某些管理员的警醒,检查一下自己的服务器是否存在漏洞,清除已经存在于机器中的恶意代码(如果存在漏洞几乎可以肯定已经被入侵控制),保障数据和服务的安全。

基于Java的Web应用服务器曾经出过几个非常好用的远程命令执行漏洞,比如以下这两个:

CVE-2015-7450

IBM WebSphere Java Comments Collections组件反序列化漏洞

CVE-2015-4852

Oracle WebLogic Server Java反序列化漏洞

漏洞细节就不在这儿分析了。尽管技术细节和利用工具已经公开了差不多2年,但目前互联网上还存在着大量有这些漏洞的Web服务器,而这些服务器迟早会沦为攻击者的猎物。至于被控制后的机器会给用来做什么完全就在于攻击者的意愿,有数据的必然会被窃取倒卖,除此以外,服务器一般都有非常好的硬件配置,海量的存储、高速的CPU和网络连接,而现在比特币的价格处于相对的高位,拿服务器来挖矿充分利用其计算能力也算黑产一鸡多吃造福自己的途径。

案例

黑产扫描IP段发现开放特定的端口的服务器,确认存在漏洞的Web应用服务器,利用漏洞控制服务器后下载一张包含挖矿恶意程序的图片,解析执行,将服务器转变为一台挖矿的肉鸡。

样本来源于我们架设的蜜罐,服务器开放了WebLogic服务,http://xxx.xx.xx.xxx:7001/  :

1.png14895680213485[1].png

日志分析显示攻击者利用了存在于WebLogic应用服务器中的Java反序列化漏洞攻破了该服务器。获得控制以后,攻击者首先执行一个了脚本,该脚本用于下载执行一个名为regedit.exe程序,此程序会调用powershell.exe去执行如下的powershell脚本:

2.png

powershell代码如下图所示:

3.png

脚本首先会去开源的网站去下载工具程序dd.exe,用它来写文件,对于大多数主防杀软而言,dd.exe会被标记为白文件,因此使用该工具可以绕过部分检测操作,下图为dd.exe的介绍:

脚本还会去https://ooo.0o0.ooo/2017/01/22/58842a764d484.jpg去下载一张jpg图片:

4.png

而https://ooo.0o0.ooo/这个网站本身是一个host,可以为用户上传的文件提供外链地址:

6.png

网站的界面如图,上传的最大的文件限制为5MB:

7.png

下载回来的图片大小为1.44M,这当然不仅仅一张图片:

8.png

分析发现,该图片偏移0xd82(3458)处开始为一个PE文件:

9.png

最后脚本调用dd.exe把图片中的PE文件提取出来,并命名为msupdate.exe:dd.exe  if=favicon.jpg of=msupdate.exe skip=3458 bs=1 。

分离出来的PE是个自解压文件;

10.png

运行解压后会去执行msupdate.exe:

11.png

msupdata.exe本身还是个自解压文件:

12.png

注释为一个命令行参数,是矿池和比特币钱包地址:

13.png

如下包含自解压脚本命令:

Setup=msupdate.exe -a cryptonight -o stratum+tcp://xmr.crypto-pool.fr:3333 -u 49hNrEaSKAx5FD8PE49Wa3DqCRp2ELYg8dSuqsiyLdzSehFfyvk4gDfSjTrPtGapqcfPVvMtAirgDJYMvbRJipaeTbzPQu4 -p x

TempMode

Silent=1

最终,解压出一个挖矿程序,并以之前的矿池和比特币钱包地址启动该挖矿程序:

14.png

整个攻击流程如下:

15.png

发表评论

电子邮件地址不会被公开。 必填项已用*标注