2018-06-26

一、背景

近期监测到一起利用“永恒之蓝”系列漏洞传播恶意软件的事件，通过对事件与样本的分析，该事件可以定性为一起攻击者通过购买恶意软件（主要包括远控、组建僵尸网络、用于DDoS的恶意软件以及挖矿木马等）来搞事情牟利的威胁事件。近期这一类攻击较多，本文将从分析与溯源的两个过程对本次威胁事件进行分析，供同行参考。

二、样本分析

在该事件中一共涉及5个样本，样本1作为一个“抓鸡”工具利用永恒之蓝漏洞对指定IP段进行扫描（利用样本2），对于存在漏洞的445端口便植入一个downloader（样本3），这个downloader会从攻击者的HFS站点（http://flamess.cn:48096/666.exe）下载一个木马Loader（样本4），loader会在内存中解密“大灰狼”远控并在内存执行，回连主控端（flamess.cc:2012）。整个逻辑过程可参考下图：

样本1：tcpok.exe

MD5：FB4660F81465DA4DFB3A7137C5F506BE

样本1是一个集成所有样本、用于批量攻击的toolkit，俗称“抓鸡工具”，其中搭载了永恒之蓝漏洞利用程序和扫描器。运行之后会以释放资源的形式将其他组件释放到Windows/Boota目录下。

释放文件到Windows\Boota

释放的文件Up.bat，用于启动永恒之蓝系列漏洞利用工具

管理员权限运行tcpok.exe后，会试用释放的文件DIck-tcp.bat（这个名字不太文明啊）执行关闭防火墙等修改系统配置的操作

修改配置的执行界面

端口扫描445端口的执行界面

样本2：S扫描器

MD5：3091E9DF8DA5F4F00C28074D44BB0641

样本2是一个被称为“S扫描器”的SYN/TCP端口扫描器，互联网有其源代码，参考：https://github.com/kingron/s

样本3：攻击载荷downloader

MD5：B29FE7183FBDB3D405D5E42C33039C36

样本三作为永恒之蓝系列漏洞的攻击载荷DLL，分为x86和x64两个版本。其功能较简单，就是从攻击者的HFS服务器上下载样本4并执行。

使用Windows Internet help库下载文件

样本4：木马Loader

MD5：1A971FE12C5D630C52365D3C46F40B06

样本3作为一个downloader远程下载样本4后并执行，样本4在内存中解密出远控DLL并调用其导出函数DllFuUpgradrs执行木马功能。

整个loader的逻辑：

其中被加密的dll被加密后写到静态数组中（下图），这样做是为了让具备恶意功能的模块在内存中执行，在一定程度上绕过杀软的特征查杀。

样本5:“大灰狼”远控