【安天CERT】大量HFS搭建的伺服器被駭客利用進行惡意程式碼傳播
微信公眾號:Antiylab
0x01 概述
近期,安天第三代蜜罐捕風系統捕獲到一個下載者樣本。該樣本執行後訪問一個由駭客搭建的輕型檔案伺服器(Http File Server)。透過使用捕風系統進行追溯與關聯分析,分析人員發現目前有很多使用HFS搭建的伺服器,透過對其中一個下載伺服器進行監控,其線上6天的總點選量近3萬次,可見其傳播範圍極廣。該軟體的“傻瓜式”教程頗受低水平的攻擊者喜愛,同時由於其架設方便,便於傳播等特點,已被駭客多次惡意利用。經過安天CERT分析人員進行關聯與分析發現,目前這種輕型伺服器工具已普遍流行。
樣本標籤
圖1 樣本標籤
駭客利用弱口令入侵MySQL資料庫伺服器後使用MySQL指令建立表,並新建變數,將可執行二進位制碼寫入變數並插入表中,然後將表中的可執行二進位制檔案Dump到資料庫伺服器中,最後執行檔案。這種手法也是駭客入侵資料庫慣用的手法。
該樣本執行後動態獲取自身程式碼,隨後進行提權操作,關鍵功能為列舉防毒軟體金山衛士程式名KSafeTray.exe。如果存在此程式,則終結程式。
圖3 殺掉金山衛士程式
惡意程式碼連線伺服器(IP:118.193.:1010)
圖4 聯網操作
當惡意程式碼連線該伺服器埠時,伺服器埠失效。而在安天CERT分析人員連線該IP時發現一個輕型伺服器,上面有一個惡意程式碼(1010.exe)
伺服器樣本分析
圖5 樣本標籤
圖6 伺服器樣本流程
該駭客伺服器上線不到2個小時即被安天CERT捕獲到。該樣本首先解密下載伺服器的地址,隨後判斷該樣本是否帶引數執行及引數是否包括“Win7”字串,如果不包括或者不帶引數執行則進入建立具有下載功能的執行緒,進入建立執行緒時判斷傳遞給執行緒的引數是否為空,如果不為空則進入執行緒建立過程,如下圖所示。
圖7 建立執行緒流程
惡意程式碼進入執行緒後,將引數字串(實際為連線伺服器的地址)傳遞給連線伺服器函式。該執行緒負責下載其他惡意程式碼。
如果惡意程式碼帶引數且包含“Win7”字串時,則惡意程式碼直接跳過執行緒程式碼建立過程,將檔名稱和標誌位傳遞給連線伺服器函式,隨後進行重新連線該伺服器地址,重新下載1011.exe檔案並儲存在C:\Windows\AppPatch目錄下起名為“mysqld.dll” 執行。
圖8 帶引數執行流程
該伺服器於9月8日剛剛上線,感染速度日趨增長,如下圖所示:
IP地址:118.193..(香港特別行政區中國電信沙田國際資料中心)
圖9 伺服器上線一天的點選量
0x02 關聯類似伺服器
透過進一步關聯分析,發現在安天蜜罐系統中另一個樣本所連結的地址也是使用Http File Server搭建的伺服器。伺服器域名為qj0..,對此安天CERT對該域名進行幾天跟蹤發現該域名更換過4次IP(如下圖所示),且伺服器均為阿里雲提供。採取動態域名、利用阿里雲提供伺服器,這兩個手法相互結合更加提高了惡意團伙的隱蔽性。駭客購買了多個阿里雲伺服器用來傳播惡意程式碼,且時常更換IP,並用IP繫結其他域名等方式來擴大惡意程式碼傳播範圍,同時將自己隱藏的更深。
圖10 域名頻繁更換阿里雲伺服器
圖11 惡意伺服器點選量
惡意伺服器定期更新惡意程式碼,並且感染量增長較快。
伺服器惡意程式碼病毒名統計如下:
安天CERT於9月7日捕獲到了另外一種類似惡意程式碼下載伺服器地址,該伺服器在捕獲的時候點選量已經近萬。伺服器上的軟體幾乎均為惡意程式碼,惡意程式碼功能多為後門和下載者,惡意程式碼功能列表詳見下方表格。
圖12 惡意伺服器
安天CERT分析人員跟蹤該伺服器一週時間發現,總點選量呈線性增長,幾乎每天增加3000的點選量。如下圖所示:
圖13 伺服器點選量日趨勢
伺服器惡意程式碼病毒名統計如下:
安天分析人員透過跟蹤與挖掘發現,目前這種駭客伺服器非常常見,如下圖所示:
圖14 惡意伺服器
圖15 惡意伺服器
0x03 總結
目前,隨著“黑色產業”的巨大經濟利益誘惑,商業化的駭客工具包的使用變得越來越流行。這種能夠“短平快”地產出惡意程式碼的方式讓新手的入門門檻越來越低,一個沒有經驗的新手透過短時間的工具學習,就能輕鬆掌握入侵計算機竊密的方法。不僅僅是駭客工具,就算是一個普通的,用於構建正常服務的工具也能被輕易地被駭客利用,比如,輕量級Http伺服器(Http File Server)正以其架設方便、便於操作等特點受到越來越多使用者的青睞。與此同時,駭客也能利用在雲端搭建輕型伺服器與使用動態域名相結合的手段使得惡意程式碼能夠更廣泛、隱蔽地傳播。這種輕量、便捷的伺服器工具將會被越來越多的駭客或者新手使用,這無疑會加速惡意程式碼的傳播。
這種工具式的駭客技術,讓惡意程式碼的生產週期變的更短。依託商業工具進行攻擊降低了攻擊成本,同時提高了檢測難度和傳播速度。這種難度小、門檻低、成本少的攻擊手法將使網際網路的黑色產業鏈變得更加魚龍混雜,同時也給網際網路安全帶來更多的挑戰。
相關文章
- 駭客仿冒ChatGPT應用程式,傳播Windows、Android惡意軟體ChatGPTWindowsAndroid
- 【安天CERT】利用路由器傳播的DYREZA家族變種分析路由器
- 針對中文使用者,駭客利用谷歌搜尋廣告傳播惡意軟體谷歌
- WireShark駭客發現之旅(3)—Bodisparking惡意程式碼Spark
- 利用機器學習進行惡意程式碼分類機器學習
- 惡意軟體以瑞典環保少女的名義大量傳播
- 惡意傳播之——社工+白+黑
- 黑客利用人們對冠狀病毒的恐懼傳播惡意軟體黑客
- 駭客利用Firefox惡意擴充套件竊取Gmail和瀏覽器資料Firefox套件AI瀏覽器
- 吃瓜要當心!駭客利用娛樂熱點大肆傳播病毒
- 駭客是如何利用你的瀏覽器進行挖礦的?瀏覽器
- 網站被植入惡意程式碼 該怎麼解決網站
- Microsoft SQL伺服器被駭客入侵 頻寬被竊取ROSSQL伺服器
- 駭客動態播報|果然,駭客也用上了ChatGPT……ChatGPT
- VMwareMac版本漏洞可任意執行惡意程式碼REMMac
- Websense稱3萬多合法網站被注入惡意程式碼Web網站
- 雲端計算裡的安全:警惕雲服務被惡意利用
- 駭客釋出惡意Dota 2遊戲模式,藉以侵入玩家系統遊戲模式
- 如何防止伺服器被惡意網路攻擊?伺服器
- 防止獨立IP被其它惡意域名惡意解析
- 大量GitHub使用者遭駭客勒索:不交比特幣就公開私有程式碼Github比特幣
- 防止API被惡意呼叫API
- Android漏洞允許黑客通過NFC傳播惡意軟體Android黑客
- 一種難以檢測到的惡意軟體正在快速傳播
- 女孩被社會毒瘤惡意傳播愛滋病!我用技術將其凶手繩之以法!
- Powershell惡意程式碼的N種姿勢
- 俄羅斯駭客利用WinRAR漏洞針對大使館進行網路間諜行動
- Android NFC 漏洞可被黑客拿來傳播植入惡意軟體Android黑客
- 高危預警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬黑客
- 網站被惡意篡改什麼原因?防止網頁惡意篡改的方法網站網頁
- Android 更新伺服器遭黑客攻擊 ,德產手機被安裝惡意軟體Android伺服器黑客
- 防不勝防 成千上萬的 WordPress 網站被掛上惡意程式碼網站
- 百事可樂裝瓶公司遭網路入侵,駭客安裝惡意軟體並下載資料
- 英特爾和微軟將利用 GPU 掃描惡意程式微軟GPU
- 寶塔皮膚怎麼防止IP被惡意解析進來?
- 黑客利用Excel文件來執行ChainShot惡意軟體攻擊黑客ExcelAI
- 利用惡意頁面攻擊本地 Xdebug
- 【安全知識分享】如何避免伺服器被惡意網路攻擊伺服器