【安天CERT】大量HFS搭建的伺服器被駭客利用進行惡意程式碼傳播
微信公眾號:Antiylab
0x01 概述
近期,安天第三代蜜罐捕風系統捕獲到一個下載者樣本。該樣本執行後訪問一個由駭客搭建的輕型檔案伺服器(Http File Server)。透過使用捕風系統進行追溯與關聯分析,分析人員發現目前有很多使用HFS搭建的伺服器,透過對其中一個下載伺服器進行監控,其線上6天的總點選量近3萬次,可見其傳播範圍極廣。該軟體的“傻瓜式”教程頗受低水平的攻擊者喜愛,同時由於其架設方便,便於傳播等特點,已被駭客多次惡意利用。經過安天CERT分析人員進行關聯與分析發現,目前這種輕型伺服器工具已普遍流行。
樣本標籤
圖1 樣本標籤
駭客利用弱口令入侵MySQL資料庫伺服器後使用MySQL指令建立表,並新建變數,將可執行二進位制碼寫入變數並插入表中,然後將表中的可執行二進位制檔案Dump到資料庫伺服器中,最後執行檔案。這種手法也是駭客入侵資料庫慣用的手法。
該樣本執行後動態獲取自身程式碼,隨後進行提權操作,關鍵功能為列舉防毒軟體金山衛士程式名KSafeTray.exe。如果存在此程式,則終結程式。
圖3 殺掉金山衛士程式
惡意程式碼連線伺服器(IP:118.193.:1010)
圖4 聯網操作
當惡意程式碼連線該伺服器埠時,伺服器埠失效。而在安天CERT分析人員連線該IP時發現一個輕型伺服器,上面有一個惡意程式碼(1010.exe)
伺服器樣本分析
圖5 樣本標籤
圖6 伺服器樣本流程
該駭客伺服器上線不到2個小時即被安天CERT捕獲到。該樣本首先解密下載伺服器的地址,隨後判斷該樣本是否帶引數執行及引數是否包括“Win7”字串,如果不包括或者不帶引數執行則進入建立具有下載功能的執行緒,進入建立執行緒時判斷傳遞給執行緒的引數是否為空,如果不為空則進入執行緒建立過程,如下圖所示。
圖7 建立執行緒流程
惡意程式碼進入執行緒後,將引數字串(實際為連線伺服器的地址)傳遞給連線伺服器函式。該執行緒負責下載其他惡意程式碼。
如果惡意程式碼帶引數且包含“Win7”字串時,則惡意程式碼直接跳過執行緒程式碼建立過程,將檔名稱和標誌位傳遞給連線伺服器函式,隨後進行重新連線該伺服器地址,重新下載1011.exe檔案並儲存在C:\Windows\AppPatch目錄下起名為“mysqld.dll” 執行。
圖8 帶引數執行流程
該伺服器於9月8日剛剛上線,感染速度日趨增長,如下圖所示:
IP地址:118.193..(香港特別行政區中國電信沙田國際資料中心)
圖9 伺服器上線一天的點選量
0x02 關聯類似伺服器
透過進一步關聯分析,發現在安天蜜罐系統中另一個樣本所連結的地址也是使用Http File Server搭建的伺服器。伺服器域名為qj0..,對此安天CERT對該域名進行幾天跟蹤發現該域名更換過4次IP(如下圖所示),且伺服器均為阿里雲提供。採取動態域名、利用阿里雲提供伺服器,這兩個手法相互結合更加提高了惡意團伙的隱蔽性。駭客購買了多個阿里雲伺服器用來傳播惡意程式碼,且時常更換IP,並用IP繫結其他域名等方式來擴大惡意程式碼傳播範圍,同時將自己隱藏的更深。
圖10 域名頻繁更換阿里雲伺服器
圖11 惡意伺服器點選量
惡意伺服器定期更新惡意程式碼,並且感染量增長較快。
伺服器惡意程式碼病毒名統計如下:
安天CERT於9月7日捕獲到了另外一種類似惡意程式碼下載伺服器地址,該伺服器在捕獲的時候點選量已經近萬。伺服器上的軟體幾乎均為惡意程式碼,惡意程式碼功能多為後門和下載者,惡意程式碼功能列表詳見下方表格。
圖12 惡意伺服器
安天CERT分析人員跟蹤該伺服器一週時間發現,總點選量呈線性增長,幾乎每天增加3000的點選量。如下圖所示:
圖13 伺服器點選量日趨勢
伺服器惡意程式碼病毒名統計如下:
安天分析人員透過跟蹤與挖掘發現,目前這種駭客伺服器非常常見,如下圖所示:
圖14 惡意伺服器
圖15 惡意伺服器
0x03 總結
目前,隨著“黑色產業”的巨大經濟利益誘惑,商業化的駭客工具包的使用變得越來越流行。這種能夠“短平快”地產出惡意程式碼的方式讓新手的入門門檻越來越低,一個沒有經驗的新手透過短時間的工具學習,就能輕鬆掌握入侵計算機竊密的方法。不僅僅是駭客工具,就算是一個普通的,用於構建正常服務的工具也能被輕易地被駭客利用,比如,輕量級Http伺服器(Http File Server)正以其架設方便、便於操作等特點受到越來越多使用者的青睞。與此同時,駭客也能利用在雲端搭建輕型伺服器與使用動態域名相結合的手段使得惡意程式碼能夠更廣泛、隱蔽地傳播。這種輕量、便捷的伺服器工具將會被越來越多的駭客或者新手使用,這無疑會加速惡意程式碼的傳播。
這種工具式的駭客技術,讓惡意程式碼的生產週期變的更短。依託商業工具進行攻擊降低了攻擊成本,同時提高了檢測難度和傳播速度。這種難度小、門檻低、成本少的攻擊手法將使網際網路的黑色產業鏈變得更加魚龍混雜,同時也給網際網路安全帶來更多的挑戰。
相關文章
- 【安天CERT】利用路由器傳播的DYREZA家族變種分析路由器
- 利用機器學習進行惡意程式碼分類機器學習
- 駭客仿冒ChatGPT應用程式,傳播Windows、Android惡意軟體ChatGPTWindowsAndroid
- 針對中文使用者,駭客利用谷歌搜尋廣告傳播惡意軟體谷歌
- 惡意軟體以瑞典環保少女的名義大量傳播
- 利用HFS工具進行檔案共享
- WireShark駭客發現之旅(3)—Bodisparking惡意程式碼Spark
- 黑客利用人們對冠狀病毒的恐懼傳播惡意軟體黑客
- 在 Linux 下利用ipset大量遮蔽惡意 IP 地址Linux
- 利用docker與shell指令碼進行懶人伺服器搭建Docker指令碼伺服器
- 網站被植入惡意程式碼 該怎麼解決網站
- 雲端計算裡的安全:警惕雲服務被惡意利用
- 剖析Facebook惡意軟體通過Chrome擴充傳播的流程Chrome
- 防止獨立IP被其它惡意域名惡意解析
- 如何防止伺服器被惡意網路攻擊?伺服器
- VMwareMac版本漏洞可任意執行惡意程式碼REMMac
- Websense稱3萬多合法網站被注入惡意程式碼Web網站
- 防止API被惡意呼叫API
- 一種難以檢測到的惡意軟體正在快速傳播
- 惡意程式碼清除實戰
- 女孩被社會毒瘤惡意傳播愛滋病!我用技術將其凶手繩之以法!
- Android漏洞允許黑客通過NFC傳播惡意軟體Android黑客
- 高危預警|黑客模仿“諜中諜”在全球肆意傳播惡意木馬黑客
- 駭客利用Firefox惡意擴充套件竊取Gmail和瀏覽器資料Firefox套件AI瀏覽器
- 寶塔皮膚怎麼防止IP被惡意解析進來?
- Powershell惡意程式碼的N種姿勢
- Android NFC 漏洞可被黑客拿來傳播植入惡意軟體Android黑客
- 別隨便安裝PokemonGO被曝藏惡意後門Go
- 一個delphi開發的惡意程式程式碼薦
- [資訊](1.19)黑客利用三個Microsoft Office漏洞來傳播Zyklon惡意軟體;美國五角大樓每天攔截約上千萬惡意郵件黑客ROS
- 機器學習&惡意程式碼靜態檢測機器學習
- 防不勝防 成千上萬的 WordPress 網站被掛上惡意程式碼網站
- 駭客是如何利用你的瀏覽器進行挖礦的?瀏覽器
- Android 更新伺服器遭黑客攻擊 ,德產手機被安裝惡意軟體Android伺服器黑客
- Android利用廣播進行IP撥號Android
- 利用nginx搭建RTMP視訊點播、直播、HLS伺服器Nginx伺服器
- 英特爾和微軟將利用 GPU 掃描惡意程式微軟GPU
- 【安全知識分享】如何避免伺服器被惡意網路攻擊伺服器