從Web蔓延到內網,BuleHero最新變種來襲
近日,深信服防火牆監測到大量裝置請求惡意域名cb.fuckingmy.life,該域名註冊於今年8月,經深信服安全團隊排查,確認為BuleHero木馬最新變種的C&C伺服器。安全專家對捕獲到的木馬檔案進行了詳細分析,該變種行為與今年6月份的變種行為相似:去掉了LNK模組,更換了C&C域名和一些攻擊元件的名字,但比較特別的是,該變種開始透過Web自動化攻擊工具進行傳播。
從深信服防火牆上的攻擊日誌上來看,攔截了大量的命令注入攻擊,分別利用以下2種漏洞進行攻擊:structs2遠端命令執行漏洞、thinkphp5.X命令執行漏洞。
- 方式1,透過structs2遠端命令執行漏洞下載執行病毒母體:http://cb.fuckingmy.life/download.exe。
- 方式2,透過thinkphp5.X命令執行下載執行病毒母體:http://fid.hognoob.se/download.exe。
詳細分析
首先,利用漏洞建立一句話木馬hydra.php。
然後,透過該木馬下載執行病毒母體download.exe。
從日誌的數量以及特徵來看,可以判斷出這些Web攻擊是一個自動化的過程,也就是說BuleHero正利用一些Web漏洞自動化工具進行傳播。
獲取到病毒樣本download.exe後,發現該樣本的編譯時間為8月26號,是最近編譯的。病毒母體名字還是延用著4月份版本的download.exe。
BuleHero家族的病毒相關資訊很容易獲取。因為BuleHero執行後都會先從C&C伺服器上讀取配置資訊,所以,只需解析該配置檔案cfg.ini,就能大致提取出關鍵資訊。關鍵資訊見下圖:
病毒流程圖
[1] 病毒母體download.exe釋放隨機名後門並註冊成服務WervPoxySvc,與C&C伺服器46.178.218.80進行通訊。
[2] 從cb.fuckingmy.life下載工具包naplmhost.exe並執行。
[3] 釋放Xmrig挖礦程式開始挖礦。
[4] 釋放傳播攻擊模組blwljzt.exe並註冊成服務eunttzfwu開始攻擊。
[5] 釋放mimikatz、TCP掃描器、永恆之藍工具等元件進行傳播攻擊。
[6] 篡改登錄檔關閉防火牆、Defender、Windows自更新等服務。
病毒母體download.exe
病毒母體使用MFC編寫,並加了UPX殼。
病毒執行後,主要現象為挖礦、後門通訊,以及橫向傳播。
後門模組rxtrust.exe
自複製到system32目錄的隨機名檔案,並註冊成WervPoxySvc服務實現開機自啟動,然後與C&C伺服器46.173.217.80 : 51888進行通訊,目前該C&C伺服器埠已關閉。
傳播模組blwljzt.exe
傳播模組首先將自身註冊成服務eunttzfwu,然後釋放傳播工具到C:\Windows\ciztbfwfu,為3個資料夾:Corporate、tbbsgbzgt、UnattendGC,依次包含抓密碼工具、TCP掃描工具、永恆之藍攻擊工具。
vfshost.exe為mimikatz抓密碼工具,bulehero會透過抓取主機密碼實現內網橫向傳播。
fttadbnnk、ifvtknkif分別為ip掃描器和埠掃描器,目的是用來獲取開啟了445埠的主機IP。
UnattendGC存放的則是我們熟悉的永恆之藍攻擊工具包。
挖礦模組cjltps.exe
挖礦模組使用的是Xmrig程式,挖礦流量如下,礦池伺服器IP為46.173.217.80。
該IP關聯著如下域名,這些均是BuleHero使用的域名。
解決方案
深信服EDR產品、下一代防火牆及安全感知平臺等安全產品均具備病毒檢測能力,部署相關產品使用者可進行病毒檢測,如圖所示:
深信服安全團隊提醒廣大使用者,注意日常防範措施:
1、及時給電腦打補丁,修復漏洞。
2、對重要的資料檔案定期進行非本地備份。
3、深信服防火牆客戶,建議升級到AF805版本,並開啟人工智慧引擎Save,以達到最好的防禦效果。
4、使用深信服安全產品,接入安全雲腦,使用雲查服務可以即時檢測防禦新威脅。
5、深信服推出安全運營服務,透過以“人機共智”的服務模式幫助使用者快速擴充套件安全能力,針對此類威脅安全運營服務提供裝置安全裝置策略檢查、安全威脅檢查、相關漏洞檢查等服務,確保第一時間檢測風險以及更新策略,防範此類威脅。
最後,建議企業對全網進行一次安全檢查和防毒掃描,加強防護工作。推薦使用深信服安全感知+防火牆+EDR,對內網進行感知、查殺和防護。
IOC
298DF81D6D317BAEC14C0E9E19F591F4
FC5B65CF9B456E0FABA5F6F5A69EF462
FF2A7868A7B3CB39235D55517EF750B7
4691497582A9C295DAC1BA5E29C5F0C7
46.173.217.80
cb.fuckingmy.life
a45.bulehero.in
相關文章
- 國內多家大型企業遭遇GlobeImposter勒索病毒變種襲擊
- Dridex木馬新變種來襲,小心來歷不明的郵件!IDE
- DDG殭屍網路“變種”來襲,騰訊安全提醒企業警惕伺服器安全伺服器
- 震撼來襲!剪映專業版出內測了!最新功能搶先使用!
- 注意!比特幣勒索病毒再度來襲已經出現新變種比特幣
- 騰訊Web前端大會 熱力來襲Web前端
- 蘋果新品來襲,快來看看都有哪些改變吧蘋果
- 勒索病毒最新變種驚現!殭屍網路擴散中
- 從Web到未來Web
- Flutter 1.5 來襲,支援Web , 桌面,嵌入式開發FlutterWeb
- 從外圍進入各大公司內網的最新方式內網
- 最新惡意軟體來襲!專攻Windows盜版使用者Windows
- 第二期網路安全公開課震撼來襲 欲報從速!
- 鑑機識變,面向未來|RocketMQ Summit 2022 即將來襲MQMIT
- GlobeImposter2.0再出新變種,疑似利用PsExec內網傳播內網
- 「內測來襲」 一鍵搭建您的效能測試平臺
- BERT來襲:燃爆AIAI
- 黑客帝國來襲!黑客
- 黑狐木馬最新變種——“肥兔”詳細分析
- 已有web網站變成appWeb網站APP
- 勒索軟體來襲考驗全球網路安防
- 物聯網領域,“花式”充電炫酷來襲
- 國產反烏托邦動作遊戲《HAAK》官宣雷霆代理,最新預告片來襲!遊戲
- 八種改變未來的技術
- 從量變到質變《陰陽師》IP生態“未來已來”
- 樹莓派 4 來襲!樹莓派
- 從Web1.0到Web3.0,Web3.0有何改變Web
- “瘋狂的小貝”強勢來襲,打造“星際”網際網路絡
- 如何從公網訪問內網Django內網Django
- 從0到1的逆襲之路,Python改變你的學習方式Python
- 從國內兩大通訊巨頭“間諜戰”來看企業內網安全管理需求薦內網
- Sysrv-hello殭屍網路又有什麼新“招式”?深信服雲蜜罐捕獲最新變種
- LSTM變種-GRU網路結構
- 最新17種網頁設計發展趨勢網頁
- 第三屆“HTML5峰會”變身“iWeb峰會”8月來襲HTMLWeb
- 360眾測平臺全新來襲,面向安全研究員正式開放內測
- 戴爾小企業官網商城重磅來襲,重塑核心競爭
- 工信部網路安全大檢查來襲,你準備好了嗎?