作者:
SwordLea
·
2015/09/16 12:35
微信公眾號:Antiylab
0x01 概述
近期,安天第三代蜜罐捕風系統捕獲到一個下載者樣本。該樣本執行後訪問一個由駭客搭建的輕型檔案伺服器(Http File Server)。透過使用捕風系統進行追溯與關聯分析,分析人員發現目前有很多使用HFS搭建的伺服器,透過對其中一個下載伺服器進行監控,其線上6天的總點選量近3萬次,可見其傳播範圍極廣。該軟體的“傻瓜式”教程頗受低水平的攻擊者喜愛,同時由於其架設方便,便於傳播等特點,已被駭客多次惡意利用。經過安天CERT分析人員進行關聯與分析發現,目前這種輕型伺服器工具已普遍流行。
樣本標籤
圖1 樣本標籤
駭客利用弱口令入侵MySQL資料庫伺服器後使用MySQL指令建立表,並新建變數,將可執行二進位制碼寫入變數並插入表中,然後將表中的可執行二進位制檔案Dump到資料庫伺服器中,最後執行檔案。這種手法也是駭客入侵資料庫慣用的手法。
該樣本執行後動態獲取自身程式碼,隨後進行提權操作,關鍵功能為列舉防毒軟體金山衛士程式名KSafeTray.exe。如果存在此程式,則終結程式。
圖3 殺掉金山衛士程式
惡意程式碼連線伺服器(IP:118.193.:1010)
圖4 聯網操作
當惡意程式碼連線該伺服器埠時,伺服器埠失效。而在安天CERT分析人員連線該IP時發現一個輕型伺服器,上面有一個惡意程式碼(1010.exe)
伺服器樣本分析
圖5 樣本標籤
圖6 伺服器樣本流程
該駭客伺服器上線不到2個小時即被安天CERT捕獲到。該樣本首先解密下載伺服器的地址,隨後判斷該樣本是否帶引數執行及引數是否包括“Win7”字串,如果不包括或者不帶引數執行則進入建立具有下載功能的執行緒,進入建立執行緒時判斷傳遞給執行緒的引數是否為空,如果不為空則進入執行緒建立過程,如下圖所示。
圖7 建立執行緒流程
惡意程式碼進入執行緒後,將引數字串(實際為連線伺服器的地址)傳遞給連線伺服器函式。該執行緒負責下載其他惡意程式碼。
如果惡意程式碼帶引數且包含“Win7”字串時,則惡意程式碼直接跳過執行緒程式碼建立過程,將檔名稱和標誌位傳遞給連線伺服器函式,隨後進行重新連線該伺服器地址,重新下載1011.exe檔案並儲存在C:\Windows\AppPatch目錄下起名為“mysqld.dll” 執行。
圖8 帶引數執行流程
該伺服器於9月8日剛剛上線,感染速度日趨增長,如下圖所示:
IP地址:118.193..(香港特別行政區中國電信沙田國際資料中心)
圖9 伺服器上線一天的點選量
0x02 關聯類似伺服器
透過進一步關聯分析,發現在安天蜜罐系統中另一個樣本所連結的地址也是使用Http File Server搭建的伺服器。伺服器域名為qj0..,對此安天CERT對該域名進行幾天跟蹤發現該域名更換過4次IP(如下圖所示),且伺服器均為阿里雲提供。採取動態域名、利用阿里雲提供伺服器,這兩個手法相互結合更加提高了惡意團伙的隱蔽性。駭客購買了多個阿里雲伺服器用來傳播惡意程式碼,且時常更換IP,並用IP繫結其他域名等方式來擴大惡意程式碼傳播範圍,同時將自己隱藏的更深。
圖10 域名頻繁更換阿里雲伺服器
圖11 惡意伺服器點選量
惡意伺服器定期更新惡意程式碼,並且感染量增長較快。
伺服器惡意程式碼病毒名統計如下:
安天CERT於9月7日捕獲到了另外一種類似惡意程式碼下載伺服器地址,該伺服器在捕獲的時候點選量已經近萬。伺服器上的軟體幾乎均為惡意程式碼,惡意程式碼功能多為後門和下載者,惡意程式碼功能列表詳見下方表格。
圖12 惡意伺服器
安天CERT分析人員跟蹤該伺服器一週時間發現,總點選量呈線性增長,幾乎每天增加3000的點選量。如下圖所示:
圖13 伺服器點選量日趨勢
伺服器惡意程式碼病毒名統計如下:
安天分析人員透過跟蹤與挖掘發現,目前這種駭客伺服器非常常見,如下圖所示:
圖14 惡意伺服器
圖15 惡意伺服器
0x03 總結
目前,隨著“黑色產業”的巨大經濟利益誘惑,商業化的駭客工具包的使用變得越來越流行。這種能夠“短平快”地產出惡意程式碼的方式讓新手的入門門檻越來越低,一個沒有經驗的新手透過短時間的工具學習,就能輕鬆掌握入侵計算機竊密的方法。不僅僅是駭客工具,就算是一個普通的,用於構建正常服務的工具也能被輕易地被駭客利用,比如,輕量級Http伺服器(Http File Server)正以其架設方便、便於操作等特點受到越來越多使用者的青睞。與此同時,駭客也能利用在雲端搭建輕型伺服器與使用動態域名相結合的手段使得惡意程式碼能夠更廣泛、隱蔽地傳播。這種輕量、便捷的伺服器工具將會被越來越多的駭客或者新手使用,這無疑會加速惡意程式碼的傳播。
這種工具式的駭客技術,讓惡意程式碼的生產週期變的更短。依託商業工具進行攻擊降低了攻擊成本,同時提高了檢測難度和傳播速度。這種難度小、門檻低、成本少的攻擊手法將使網際網路的黑色產業鏈變得更加魚龍混雜,同時也給網際網路安全帶來更多的挑戰。
部落格地址
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!