Author:360天眼實驗室

0x00 引子

---

人在做，天在看。

11月底的時候，360天眼安全實驗室釋出了一篇文章：網路小黑揭秘系列之私服牧馬人，揭露了一起汙染私服搭建工具和使用者登入端程式進行木馬傳播的事件。其實，類似的案例遠不限於此，這次我們揭露另一根鏈條出來，當然還是從一個樣本開始。

0x01 樣本及基礎設施

---

實驗室在日常的惡意程式碼處理時注意到了一個檔名為“YY某主播影片.exe”（MD5: 27C8E69F7241476C58C071E83616D2B5）的遠控木馬：

基本上，如果是一個國產木馬，如果猜大灰狼，你就有90%的機率正確，這個木馬當然也是。木馬作者命名為“killqipilang”，就算大灰狼的變種吧。

對樣本的分析就不多說了，想了解大灰狼遠控的程式碼架構可以參看天眼實驗室之前的那個揭秘。很容易就提取到木馬內部編碼過的上線URL為“qq867126996.3322.org”：

使用360天眼實驗室的視覺化關聯分析系統進行追蹤溯源，發現該木馬還關聯了另一個上線URL：luanqi.net。由此線索繼續，又關聯到更多樣本，其中一個名為“hexSB360.exe”（沒錯，木馬作者對360都懷有極深的怨念）的程式（MD5: E4C62055D1BCEB88D97903562B9E1BE8），又一個大灰狼遠控。

從此樣本，我們提取到了其核心遠控模組下載地址：http://118.***.***.230:8080/Consys21.dll。

整個互動式的分析過程在互動式的關聯平臺上就是如下這個樣子：

關聯絡統還告訴我們這個木馬還使用了其他多個上線域名。有免費的二級域名qq867126996.3322.org、q332299.f3322.net，也有收費的頂級域名luanqi.net、lyisi.org、sb.jiushao.net、huo-dian.com。

對非免費域名做追溯一般是非常重要的突破點，我們可以查詢一下相關的Whois資訊。以下是域名luanqi.net的，可見做了隱私保護。

域名lyisi.org的：

域名jiushao.net的

域名huo-dian.com的：

[email protected]，其名下注冊的域名大多數已經被360攔截，其中不乏淘寶釣魚站或者虛假商城，比如www.000268.cn，現時應該iphone6s才是熱門機型，iPhone5都已經淘汰了，卻出現在該商城的首頁，只能說釣魚也不夠用心。

在知道了樣本關聯出來的網路基礎設施以後，利用一個眾所周知的漏洞我們控制了小黑使用的某些伺服器。在其中一臺伺服器上，我們看到了大灰狼遠控的管理程式，在工作管理員這個木馬控制端程式的CPU佔用已經達到了12%：

當時由於小黑正線上，我們用netstat命令檢視一下該主機上目前已經上線的肉雞：

嗯，似乎控制的肉雞並不多，這個伺服器就只是做木馬的控制端嗎？沒那麼簡單，接著往下看。

0x02 槍和駕照

---

翻伺服器磁碟，我們發現該伺服器上有個“泛站群系統”，該系統可以使得國內的搜尋引擎收錄更快，但被降權的速度也很快，所以這些伺服器上會起用大量的域名和IP。下圖是系統的使用說明：

這臺伺服器上綁了多個外網IP：

依賴360網路研究院提供的DNS基礎資料，我們獲取了近期繫結在這些IP上的域名列表如下：

從這張列表中抽取了部份域名在某搜尋引擎中做了驗證，發現結果讓我們有些心驚膽跳：

很顯然都是SEO賣槍的，而這些槍的關鍵詞又正好在服務上就有發現：

透過whois資訊的查詢，[email protected]，從這樣直白的郵箱名來看，郵箱背後的人看來專門從事槍關鍵詞SEO。

繼續挖掘伺服器上的檔案，我們還發現了XISE Webshell管理器，呵，一個好長的列表，已經被地下管理員接管的機器真不少：

這些被黑的站點用來做什麼了呢？看看小黑怎麼操作那些Webshell就知道了：

可見除了在自己的網站使用“泛站群”達到快速惡意SEO的目的，小黑還使用掃描器大量掃描存在漏洞的網站植入webshell，向這些網站寫入要SEO的資訊達到快速SEO的目的。隨機抽了些被黑SEO的網站：

政府網站歷來都是被黑鏈的重災區，對此只能一聲嘆息。

0x03 餘額寶

---

翻伺服器檔案系統的過程中總是驚喜不斷，開啟一個目錄"XISE蜘蛛池\niubi\keywords"下的1.txt，裡面一堆和支付寶相關的關鍵詞挺令人震驚：

原來小黑還透過“泛站群”做惡意SEO，使人在使用國內某些搜尋引擎的時候找到釣魚資訊，坐等魚上鉤：

0x04 後門

---

使用這臺伺服器的小黑也和絕大多數小黑一樣，都是拿來主義，可拿來主義不等於免費主義，要麼自己多個心，要麼就交點學費。我們從這臺伺服器上取回來的SSH爆破程式包中就直接發現了“Usp10.dll”（MD5: B846B1BD3C4B5815D55C50C352606238）的盜號木馬，而執行“SSH最終版（穩定）.exe”（MD5: 59F7BC439B3B021A70F221503B650C9C）這個主程式後也會在%temp%資料夾中釋放2個檔案：一個SSHguiRelease.exe（MD5: AB72FC7622B9601B0180456777EFDE5D），真正的SSH爆破程式；另一個filter32.exe（MD5: 7218C74654774B1FDE88B59465B2748C），使用易語言編寫的程式，經分析發現該檔案會向147***|||**|*@163.com這個郵箱傳送檔案。

外面的Usp10.dll可能是被無意感染的，而裡面的那個發郵件後門則明顯是故意植入的，防不勝防。

Usp10.dll這類惡意程式碼是dll劫持型木馬，一個小心就全盤感染了。但從伺服器上取回來的樣本中只有2個軟體包存在，且都是工具類的，伺服器上並沒有感染這個樣本。

上面這個工具可能來源於“泯滅安全網”，寫稿時湊趣地網站維護了，只好貼個搜尋快照圖：

對後門程式碼進一步反彙編分析，確認147|||@163.com即是收件郵箱又是傳送的郵箱，而這個郵箱的密碼是：sgg||*|**cc，透過SMTP協議將要偷取的資訊傳送出去。下圖是涉及在駭客工具中植入的後門往163郵箱傳送資料的程式碼：

隨後使用木馬中配置的賬號和密碼進入這個發件郵箱，我們當然會摸進郵箱裡去看看了。在收件箱中有41封郵箱，發件箱中有388封，已刪除郵箱有5封，而這些資料僅是近一個月的資料。

透過統計所有郵件頭中的“Received”包含的IP，可以看到有不少中招小黑交了大量的學費。

在這些郵件中，不僅有小黑們的木馬配置資訊，還有大量掃描出來的IP及相對應的賬號和密碼資訊。

在黑產圈子，沒有黑吃黑才是不正常的，關於工具後門其實還有可說的，請期待天眼實驗室的下一篇扒皮。

比較逗的是，這個伺服器上的駭客工具居然有感染了“Parite”病毒，可能是我們在翻伺服器檔案時啟用的（論伺服器也安個360的重要性），以致於最新更新的大灰狼遠控也被感染了。

因為“Parite”會使得系統變慢，不停的彈出檔案保護的視窗，使大灰狼遠控不再免殺，可能因為這個原因小黑發現異常把系統重做了導致我們對伺服器失去控制。

0x05 總結

---

就這樣，我們零距離觀察了一臺多功能的黑產工作站（只是眾多機器之一），我們的發現大致可以歸納成如下的圖：

操作這些的是新時代的Script Kiddies，他們租個伺服器，找些自動化的擼站工具，程式開起來就算開幹了，充當產業鏈上最初級的角色，在他的環節裡透過現成的渠道變點現。他們所使用的伺服器工具存在漏洞，擼站工具包含後門，甚至都處理不了惡意程式碼的感染，因這些問題的損失都是技能不足交的稅。他們最容易被分析和打擊（如果有人想打擊的話），但是，這一切都不會影響他們的活動，只要能不怎麼花力氣的掙點錢。

另外，天眼實驗室還在招人，惡意程式碼分析方向，海量多維度的資料帶來不同的眼界，投條請往：zhangshuting@360.cn

0x06 威脅資訊

---

以下就是些入侵指示資料，儘管現在威脅情報很熱，但目前國內的安全裝置對於機讀IOC的支援並不廣泛，也就不裝模作樣地提供什麼OpenIOC或STIX格式的XML了，讀者可以根據自己的需要加入到裝置的檢測目標裡。

型別	值	備註
MD5	27C8E69F7241476C58C071E83616D2B5	YY某主播影片.exe
MD5	E4C62055D1BCEB88D97903562B9E1BE8	hexSB360.exe
MD5	B846B1BD3C4B5815D55C50C352606238	usp10.dll
MD5	59F7BC439B3B021A70F221503B650C9C	SSH最終版（穩定）.exe
MD5	7218C74654774B1FDE88B59465B2748C	filter32.exe
Domain	qq867126996.3322.org	CC地址
Domain	q332299.f3322.net	CC地址
Domain	luanqi.net	CC地址
Domain	lyisi.org	CC地址
Domain	sb.jiushao.net	CC地址
Domain	huo-dian.com	CC地址
Domain	www.000268.cn	釣魚網站
Domain	www.dlyymy.cn	駭客網站
email	[email protected]	註冊大量釣魚網站
email	[email protected]	註冊大量槍支推廣網站