利用Think远程代码执行漏洞进行脱库上传免杀木马情报

1 详细说明

近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css（伪装加密后的php文件），直接打开后展示“js.css”（php语言加密代码）。如下图所示：

Think远程代码执行漏洞

 

2 情报来源

  经由地址http://acedgwf.cn/01/js.css 捕获远控木马样本

3 样本分析

我将从以下三个步骤来进行情报提交：捕获样本情报→ 分析解密后门文件代码→分析域名资产和漏洞影响；

 

① 首先对以上代码单独解密后得出以下html前台远控登录代码，如下

过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软！

登陆代码运行图如下：

注：单独运行此html无可交互功能

Think远程代码执行漏洞

 

 

② 经深度混淆解密后得到该木马后门远控代码如下：

 

    ▲警告：代码量过大，为方便预览，只截取深度解密后的部分代码，具体请见样本[2] 如下图：

脱库上传免杀木马情报

 

 

③ 域名资产分析

 

域名：http://acedgwf.cn

当前解析ip：中国 香港 Cloudinnovation 154.196.38.30

无备案；

无子域名；

 

whois信息：

 

Domain Name: acedgwf.cn

ROID: 20191121s10001s19347192-cn

Domain Status: ok

Registrant ID: 22cn191114yi6z3q

Registrant: 王艺杰

Registrant Contact Email: [email protected]

Sponsoring Registrar: 杭州电商互联科技有限公司（原杭州创业互联科技有限公司）

Name Server: ns6.dnsdun.net

Name Server: ns6.dnsdun.com

Registration Time: 2019-11-21 17:58:27

Expiration Time: 2020-11-21 17:58:27

DNSSEC: unsigned

 

由此可得，该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 [https://www.eb.com.cn/]所购买的域名；

再由该dns解析可得，此域名的dns服务商为：【】https://www.dnsdun.com/ 配置的dns服务；

此人Email为： [email protected]；

至于服务器几何，个人判断猜测[不确定]应属于此人在GitHub pages搭建，后期为了防止其Git仓库曝光又将自定义域名转至 [https://www.eb.com.cn/]，该域名和服务器为暂存地 或 该服务器为 远控木马前端登录地[被隐藏] 

 

威胁情报ioc：

 

执行三次以上得出以下结果↓

 

文件 SHA256： 9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da

恶意行为特征： 将可读可写的内存属性改为可读可执行（通俗讲就是篡改数据库和破坏服务器，进行远控木马种植和后门隐藏也包括完全接管该服务器。）

Time & API	Arguments	Status	Return
2020-05-14 10:56:51 NtProtectVirtualMemory	process_identifier :3032 stack_dep_bypass :0 stack_pivoted :0 heap_dep_bypass :1 length :4096 protection :32 process_handle :0xffffffff base_address :0x7ff80000	1	0

该域名内包含的文件分析 基本信息如下

样本名称

9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da-1589421382

样本类型

HTML document, ASCII text

样本大小

2179

MD5

c4c3866721f81f5a29e1b6f3888993a9

SHA1

167b8b7982332ef47ab634f723c21850db5ad400

SHA256

9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da

SSDeep

24:4WY7gYCuFPjs+wLR6J3RC5vmVgGGkkeiaX4UcKLFkG6Z8YzaB2lfq:4rPFo5ueGGKiaXLmJZzxq

 

危害：

该后门会通过PHP文件后门调取受害者服务器系统设置，脱库删库SQL数据库文件导出，窃取管理员权限并植入窗口欺骗型病毒{0633EE93-D776-472f-A0FF-E1416B8B2E3A} 篡改注册表等等一系列操作，最终完全僵尸化受害者服务器。

 

样本文件提示：由于此木马可能存在域名验证问题，故无法保证完全解密，深度解密失误会造成的部分代码缺失。

源文件为样本[1],有能力的可以自行解密查看，深度解密后样本为[2]，

 

样本文件待上传,需要的 评论留邮箱