chanong 搜杀地图
黑客组织成功攻破目标MSSQL数据库后,将分发勒索软件和加密货币挖矿模块。 这些模块使用多种编程语言和脚本进行封装和混淆,以避免被防病毒软件检测。 后期还会部署木马,完全控制受害者的计算机,窥探用户的敏感信息,如密码、浏览器记录等。病毒的执行流程如下图所示:
病毒传播流程图
通过查看用户电脑登录日志,火绒工程师发现了黑客进行暴力攻击的痕迹,如下图所示:
黑客入侵攻击日志
该黑客团伙成功攻破MSSQL后,其分发的勒索软件和挖矿软件都经过了多层混淆和加密。 预计未来加密方式还会不断更新。 工程师建议用户使用强密码、启用多重身份验证并限制对远程桌面协议的访问以保护自己。 如果您处于企业环境,建议部署火绒企业版,通过暴力攻击防护、终端动态认证等功能提供防护。
注:“”是一款在售的远程控制软件,经常被黑客用来进行各种恶意攻击。
1. 样品分析
后门模块
当黑客成功侵入目标MSSQL数据库后,就会下载并执行后门模块,通过执行CMD命令来控制受害者的计算机。 相关CMD命令如下图所示:
CMD命令执行
模块.exe是最外层的shell。 模块启动后,会将脚本引擎释放到temp目录下,并执行相应的脚本。 Sword监控的行为如下图所示:
Sword 监控的行为
脚本内容如下图:
该脚本会将脚本引擎相关文件释放到temp目录下,并通过CMD执行脚本文件。 Sword监控的行为如下图所示:
脚本文件只是被混淆了。 执行后,引擎将被释放,脚本将被执行。 脚本反混淆后的内容如下图所示:
脚本文件 脚本文件
脚本中添加混淆,增加查杀难度。 混淆方法包括:命名随机化、字符串加密、控制流混淆等,如下图所示:
脚本混淆
经过反混淆和分析,该脚本还有多种对策,例如检测反病毒引擎指纹、无用循环等,如下图所示:
对策
经过多层混淆和加密,木马最终被注入到ftp.exe进程中,如下图所示:
注入ftp.exe
通过查看字符串可以发现版本号为:4.0.1,关键字符串信息如下图所示:
关键字符串信息
它是一种在售的远程控制软件,经常被黑客用来进行各种恶意攻击。 官网信息(翻译后)如下图:
官网信息(翻译)
该木马会使用RC4加密方式保存资源中的配置信息。 解密数据后可以得到C&C服务器地址:80.66.75.41,如下图:
勒索软件模块
C&C服务器还会投递勒索病毒及相关CMD命令,如下图:
命令命令
被病毒勒索后,相关勒索信内容如下图所示:
勒索信内容
被勒索后,需要支付0.217比特币(目前约33,707人民币)。 相关暗网支付页面如下图:
暗网支付页面
勒索软件模块中添加了两层 C# 混淆器。 第一层是tzt.exe。 运行后会从C&C服务器下载第二层shell。 相关代码如下图所示:
下载第二个shell
在第二层shell中,勒索病毒会利用傀儡进程注入到.exe中执行恶意代码。 相关代码如下图所示:
进程注入.exe
该变体与之前的版本变化不大,功能基本相同。 它使用并加密文件并对密钥文件进行加密,如下图所示:
加密文件
为了不影响系统的运行,勒索病毒会避开一些系统文件和文件夹,未加密的文件后缀列表如下图所示:
未加密文件后缀列表 未加密文件后缀列表
未加密的文件夹列表如下所示:
未加密的文件夹列表
挖矿模块
C&C服务器还会下发挖矿模块及相关CMD命令,如下图:
命令命令
恶意模块.exe运行后,挖矿程序XmRig将被释放到TEMP目录并运行。 Sword监控的行为如下图所示:
Sword 行为监控
根据XMRig的运行参数,矿池地址::2222,XMRig的运行参数如下图所示:
XMRig操作参数
2. 附录
指令与指令
哈希
微信扫一扫打赏
支付宝扫一扫打赏
