WireShark駭客發現之旅（6）—“Lpk.dll劫持+ 飛客蠕蟲”病毒

wyzsk發表於2020-08-19

作者：聚鋒實驗室 · 2015/09/28 10:36

作者：Mr.Right、Evancss

申明：文中提到的攻擊方式僅為曝光、打擊惡意網路攻擊行為，切勿模仿，否則後果自負。

0x01 發現問題

在對客戶網路內網進行流量監控時發現，一臺主機172.25.112.96不斷對172.25.112.1/24網段進行TCP445埠掃描，這個行為目的在於探測內網中哪些機器開啟了SMB服務，這種行為多為木馬的通訊特徵。

過濾這個主機IP的全部資料，發現存在大量ARP協議，且主機172.25.112.96也不斷對內網網段進行ARP掃描。

發現問題後，我們就開啟對這臺主機的深入分析了。

0x02 Lpk.dll劫持病毒

第一步，DNS協議分析。過濾這臺主機的DNS協議資料，從域名、IP、通訊時間間隔綜合判斷，初步找出可疑域名。如域名yuyun168.3322.org，對應IP為61.160.213.189。

過濾IP為61.160.213.189的全部資料可以看到主機172.25.112.96不斷向IP地址61.160.213.189發起TCP7000埠的請求，並無實際通訊資料，時間間隔基本為24秒。初步判斷為木馬回聯通訊。

再發現可疑域名gcnna456.com，對應IP為115.29.244.159。

過濾IP為115.29.244.159的全部資料可以看到主機172.25.112.96不斷向IP地址115.29.244.159發起TCP3699埠的請求，並無實際通訊資料，時間間隔也基本為24秒。初步判斷也為木馬通訊資料。

把這兩個域名請求的DNS資訊都提取出來（當然，這裡僅用WireShark實現就比較困難了，可以開發一些工具或利用裝置），部分入庫後可看見：

時間	客戶端	伺服器	域名
2015/8/3 19:40	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:40	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:41	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:41	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:41	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:41	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:41	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:41	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:42	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:42	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:42	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:42	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	172.25.112.96	8.8.8.8	yuyun168.3322.org
時間	客戶端	伺服器	域名
2015/8/3 19:41	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:41	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:41	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:41	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:41	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:41	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:42	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:42	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:42	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:42	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:42	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:42	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:43	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:43	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:43	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:43	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:44	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:44	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:44	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:44	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:44	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:44	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:45	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:45	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:45	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:45	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:46	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:46	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:46	8.8.8.8	172.25.112.96	gcnna456.com

從統計可以看出，這兩個域名的請求一直在持續，且時間間隔固定。

為探明事實真相，我們對這臺電腦程式進行監控，發現了兩個可疑程式，名稱都是hrl7D7.tmp，從通訊IP和埠發現與前面分析完全吻合。也就是說，域名yuyun168.3322.org和gcnna456.com的DNS請求資料和回聯資料都是程式hrl7D7.tmp產生的。

進一步查詢資料和分析確認，這個惡意程式為Lpk.dll劫持病毒。

0x03 飛客（Conficker）蠕蟲

當然，完全依靠域名（DNS）的安全分析是不夠的，一是異常通訊很難從域名解析判斷完整，二是部分惡意連線不透過域名請求直接與IP進行通訊。在對這臺機器的Http通訊資料進行分析時，又發現了異常：HTTP協議的頭部請求中存在不少的“GET /search?q=1”的頭部資訊。

如IP為95.211.230.75的請求如下：

Follow TCPStream提取請求資訊如下，請求完整Url地址為：95.211.230.75/search?q=1，返回HTTP404，無法找到頁面。

透過請求特徵“/search?q=1”繼續分析，如IP地址221.8.69.25，請求時間不固定，大約在20秒至1分鐘。

再如IP地址38.102.150.27，請求時間也不是很固定。

再如IP地址216.66.15.109，請求時間也不是很固定。

把含此特徵的請求IP、域名以及HTTP返回狀態碼進行統計，如下表：

時間	客戶端	伺服器	請求URL	狀態
19:03	172.25.112.96	221.8.69.25	http://221.8.69.25/search?q=1	200
19:03	172.25.112.96	38.102.150.27	http://38.102.150.27/search?q=1	404
19:04	172.25.112.96	216.66.15.109	http://216.66.15.109/search?q=1	404
19:14	172.25.112.96	95.211.230.75	http://95.211.230.75/search?q=1	404
19:29	172.25.112.96	46.101.184.102	http://46.101.184.102/search?q=1	200
3:17	172.25.112.96	54.148.180.204	http://54.148.180.204/search?q=1	404

可以發現，一共請求了6個IP地址，請求URL地址都為http://IP地址/searh?q=1，有4個IP請求網頁不存在，有兩個請求網頁成功。

過濾DNS協議，透過搜尋找到6個IP對應的域名：

221.8.69.25：nntnlbaiqq.cn；
38.102.150.27：boqeynxs.ws；
216.66.15.109：odmwdf.biz；
95.211.230.75：ehipldpmdgw.info；
46.101.184.102：eqkopeepjla.info；
54.148.180.204：rduhvg.net；

可以看出6個域名名稱都很像隨機生成的。對DNS進一步分析時還發現大量無法找到地址的域名請求，如圖：

將此錯誤請求進行統計，僅在監控期間就請求過148個錯誤的域名。透過這些域名名稱可以初步判斷，該病毒請求採用了DGA演算法隨機生成的C&C域名（詳細瞭解可移步：[/tips/?id=6220][用機器學習識別隨機生成的C&C域名]）。大量隨機生成的域名不存在或控制端伺服器已登出關機，導致大量請求失敗。

時間	客戶端	伺服器	查詢	狀態
2015/8/3 22:31	172.25.112.96	8.8.8.8	nlasowhlhj.org	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	diadcgtj.com	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	idwcjhvd.com	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	cacbwanw.net	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	pqepudpjcnc.org	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	lqxlx.cc	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	qmnqag.info	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	tivet.org	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	zvzpzgtiz.com	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	whfgzs.cc	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	uqowfosm.com	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	pxidlhtlhqz.org	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	hzxloguigf.org	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	yaovrr.com	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	iazabdcwf.net	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	qbzzehgnadn.net	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	xvmtjcehe.net	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	pvugavxsx.org	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	lgxvyyzs.info	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	rspgnhx.com	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	pbwgoe.com	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	wtexobkv.net	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	jjvyyyexxk.cc	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	uvxklheapu.net	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	wdbsw.org	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	wsflkzxud.net	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	zmbfcf.org	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	uzerepiq.net	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	vszcgubl.info	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	aqerqeiigme.info	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	zrpavmfitq.cc	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	ugoxslfxazt.net	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	tzorilkpyg.com	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	oqhwvgpvsjw.info	失敗
2015/8/3 22:37	172.25.112.96	8.8.8.8	icsqhpnr.org	失敗
2015/8/3 22:37	172.25.112.96	8.8.8.8	bpvuftucv.org	失敗
2015/8/3 22:37	172.25.112.96	8.8.8.8	kmdgcblyibz.cc	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	xilpn.cc	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	iumygnris.org	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	tmypuykvfzj.com	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	jhiozaveoi.net	失敗
2015/8/3 22:39	172.25.112.96	8.8.8.8	gvjrenffp.net	失敗
2015/8/3 22:39	172.25.112.96	8.8.8.8	geiradmz.info	失敗

過濾IP為221.8.69.25的HTTP成功請求資料，提取文字內容可以看到請求成功的網頁顯示內容：

<html><body><h1>Conficker Sinkhole By CNCERT/CC!</h1>
</body></html>

透過HTTP響應可以推斷，該機器可能感染了飛客（Conficker）蠕蟲病毒，進一步我們推斷國家網際網路應急中心（CNCERT/CC）已得知此域名被飛客病毒所用，並將該域名放入飛客病毒域名汙水池（Sinkhole）以緩解該病毒帶來的風險。

至此基本確定該主機已感染飛客病毒，後續我們使用飛客病毒專殺工具進行防毒，並對作業系統進行補丁修復後，該主機網路通訊恢復正常。

0x04 總結

關於Lpk.dll、Confiker病毒的逆向分析，網上有很多資料，本文就不繼續分析；
無論是木馬還是惡意病毒，一旦感染就會與外界通訊，就可以透過流量監測發現；
木馬病毒的內網滲透行為可基於區域網監測分析技術進行監控；木馬病毒的回聯通訊行為分析可結合域名請求、心跳資料特徵檢測進行分析。

本文章來源於烏雲知識庫，此映象為了方便大家學習研究，文章版權歸烏雲知識庫！

WireShark駭客發現之旅--開篇
2020-08-19
Wireshark駭客發現之旅（4）——暴力破解
2020-08-19
WireShark駭客發現之旅（7）—勒索郵件
2020-08-19
WireShark駭客發現之旅（5）—掃描探測
2020-08-19
WireShark駭客發現之旅（3）—Bodisparking惡意程式碼
2020-08-19
Spark
WireShark駭客發現之旅—肉雞郵件伺服器
2020-08-19
伺服器
WireShark駭客發現之旅（8）—針對路由器的Linux木馬
2020-08-19
路由器Linux
Synaptics 蠕蟲病毒分析
2024-11-21
APT
紅客、駭客、駭客有什麼區別?駭客守則注意事項！
2022-09-09
黑吃黑——駭客組織透過駭客工具攻擊其他駭客
2022-11-27
駭客玩具入門——6、網路嗅探
2023-12-01
駭客動態播報｜果然，駭客也用上了ChatGPT……
2023-02-27
ChatGPT
有點意思:K8s被駭客劫持用來挖礦
2018-12-07
K8S
谷歌駭客語法
2018-08-07
谷歌
雲伺服器遭到駭客入侵植入木馬病毒排查過程
2024-05-09
伺服器
磁碟檔案只剩下”_”？你可能中了DeviceManager蠕蟲病毒
2021-07-28
dev
某IOT蠕蟲病毒分析之UPX脫殼實戰
2018-04-11
發現第一個 Log4J 蠕蟲
2021-12-20
LastPass 遭駭客攻擊
2022-09-29
AST
常年“佛系”Crysis勒索病毒突然變種變身駭客工具合輯
2020-06-19
吃瓜要當心！駭客利用娛樂熱點大肆傳播病毒
2023-04-24
20s刪除使用者檔案的incaseformat蠕蟲病毒大爆發!
2021-01-16
ORM
挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程
2023-02-21
dev
駭客現在會更多地利用零日漏洞 - arstechnica
2022-04-25
知名駭客組織Anonymous（匿名者）
2022-11-27
AI蠕蟲是一種虛構的概念，結合了人工智慧（AI）和計算機病毒蠕蟲（worm）兩個概念
2024-03-05
AI人工智慧計算機Worm
微信支付勒索病毒製造者被鎖定網友：史上最蠢的駭客！
2018-12-07
駭客劫持比特幣“官網”進行詐騙，“雙倍回報”返利騙局全球通用
2021-09-27
比特幣
Netflix奈飛客戶端
2021-10-16
客戶端
亞信安全釋出防範WannaCry/Wcry蠕蟲勒索病毒緊急通告！
2018-03-30
面試現場-白海飛-極客時間
2019-04-28
面試
十大頂級的駭客級Linux發行版！
2022-11-28
Linux
Google 發出了 40000 次國家支援駭客攻擊警告
2022-11-28
Go
西班牙19歲天才駭客被逮捕，該駭客自稱能訪問九成西班牙公民資訊
2023-04-07
美國空軍舉辦駭客大賽，讓駭客黑掉它的在軌道衛星
2022-11-28
世界駭客大賽Pwn2Own：駭客攻破微軟、特斯拉、macOS，奪取百萬美元獎金
2023-03-24
微軟Mac
2023年最流行的道德駭客工具
2023-04-02
勒索病毒Coffee來襲：定向攻擊科研院所，蠕蟲性質隱含爆發風險
2022-02-14

WireShark駭客發現之旅（6）—“Lpk.dll劫持+ 飛客蠕蟲”病毒

0x01 發現問題

0x02 Lpk.dll劫持病毒

0x03 飛客（Conficker）蠕蟲

0x04 總結

相關文章