WannaMine再升級! 搖身一變成為軍火商

IT168GB發表於2018-06-26

本文轉載自" 安全客",原文編輯邊邊

WannaMine是個“無檔案”殭屍網路,在入侵過程中無任何檔案落地,僅僅依靠WMI類屬性儲存ShellCode,並透過“永恆之藍”漏洞攻擊武器以及“Mimikatz+WMIExec”攻擊元件進行橫向滲透。相比較其他挖礦殭屍網路,WannaMine使用更為高階的攻擊手段,這也是WannaMine能夠存活至今的原因之一。WannaMine最早出現在公眾視野是2017年底,在對WannaMine的持續跟蹤中360分析人員發現,WannaMine可能已經開始為其他駭客組織提供武器。

圖1 WannaMine攻擊簡圖

  自WannaMine出現到2018年3月的這段時間中,WannaMine較為沉寂,僅僅更換了幾次載荷託管地址。2018年3月起,WannaMine開始攻擊搭建於Windows作業系統上的Web服務端,包括Weblogic、PHPMyAdmin、Drupal。圖2展示了WannaMine在2018年2月到4月載荷託管地址以及攻擊目標的變化。

圖2 WannaMine在2018年2月至4月載荷託管地址與攻擊目標的變化

  由於3月份的這次更新使WannaMine增加了攻擊目標,其控制的殭屍機數量也隨之大幅度增加。殭屍網路規模的擴大使殭屍網路控制者急於將利益最大化,果不其然,WannaMine在6月份的更新之後出現了為其他駭客組織工作的跡象,這可以從一個表格體現出來。表1展示了WannaMine自2018年2月以來的載荷託管ip地址以及當時解析到該ip地址的域名(表格按時間先後從上往下排列)。

表1

  從表格中不難看出,早期WannaMine所使用的載荷託管ip地址經常改變,並且透過域名反查得到的域名都是不同的,這表明WannaMine可能使用殭屍網路中的某一臺殭屍機用於託管載荷,每次進行更新後,WannaMine就更換一臺託管載荷的殭屍機。自107.148.195.71這個ip地址之後,WannaMine使用的連續4個載荷託管地址都是域名d4uk.7h4uk.com所解析到的地址,這種情況在之前是不存在的。而這個時間正是6月份WannaMine進行更新的時間節點,這在360安全衛士每週安全形勢總結()中提到過。在這次更新中,WannaMine利用Weblogic反序列化漏洞攻擊伺服器後植入挖礦木馬和DDos木馬。值得一提的是,這次WannaMine還使用了剛剛面世不久的Wmic攻擊來bypass UAC和躲避防毒軟體的查殺。

圖3 WannaMine 6月份發動的攻擊流程

  在WannaMine的這次更新中存在了多個疑點,這些疑點暗示此時的WannaMine控制者可能與之前的明顯不同:

  1.WannaMine在3月份到4月份已經發起大規模針對Weblogic服務端的攻擊,殭屍網路已經控制了許多Weblogic服務端,為何在6月份的更新之後還要對Weblogic服務端發起攻擊。

  2.為何自6月份以來WannaMine的載荷託管域名都是d4uk.7h4uk.com。

  透過對域名d4uk.7h4uk.com的跟蹤可以發現,該域名在2018年4月中旬開始被一個駭客組織使用,這要遠早於WannaMine對該域名的使用,而該駭客組織在攻擊手法以及目的上也與WannaMine大相徑庭。該駭客組織透過Weblogic反序列化漏洞CVE-2018-2628入侵伺服器,往伺服器中植入DDos木馬。DDos木馬的載荷託管地址為hxxp://d4uk.7h4uk.com/w_download.exe,這與WannaMine釋放的DDos木馬的託管地址吻合。

圖4 該駭客組織使用的攻擊程式碼

  雖然載荷託管地址與之後WannaMine使用的載荷託管地址相同,但是4月中旬的攻擊中所有攻擊檔案都是落地的並且沒有WannaMine程式碼的痕跡,其藉助sct檔案實現持續駐留的方式也和WannaMine藉助WMI實現持續駐留的方式有所不同。可以斷定,這來自於與WannaMine不同的另一個駭客組織。

  另外,從WannaMine 6月份更新後的程式碼特徵也不難發現,其程式碼進行了略微修改,加入了RunDDOS、KillBot等多個函式,這些函式被插入了之前多個版本中都未被修改過的fun模組(fun模組用於進行橫向滲透),並且與fun模組的原始功能非常不搭,此外 RunDDOS中將DDos木馬直接釋放到磁碟中,這也與WannaMine風格不符。可以推斷,這次程式碼的改動可能是為其他駭客組織提供一個定製化的攻擊元件。

圖5 RunDDos函式內容

  透過上述分析,可以總結出WannaMine 6月份更新之後的兩個特點:1.使用一個其他駭客組織1個多月前使用過的載荷,並且此次更新使用的載荷託管地址和載荷檔案都與該駭客組織有關;2.更新後加入的程式碼位置、程式碼內容與之前的風格不符,有臨時定製化的可能。透過這兩個特點可以推斷,WannaMine已經開始為其他駭客組織提供武器。

  結語

  讓控制的殭屍網路實現更多的利益產出是每個駭客組織期望的結果,WannaMine的目的也是如此。高階殭屍網路商業化對於防禦者而言是一種挑戰,因為防禦者將會遇到越來越多使用其高超技術的駭客組織。WannaMine的高超之處,在於其隱蔽而又有效的橫向滲透技術,這將是防禦者在對抗WannaMine乃至使用WannaMine的駭客組織需要重視的地方。

來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31510736/viewspace-2156638/,如需轉載,請註明出處,否則將追究法律責任。

相關文章