1、 概述 日前,火絨安全團隊經過"火絨威脅情報系統"發現蠕蟲病毒"Worm/Sharp"正在全網傳播,其中在政府、企業、學校、醫院等單位的局域網具備很是強的傳播能力。該病毒經過"永恆之藍"漏洞、多個電腦經常使用端口傳播,入侵電腦後,會橫向攻擊局域網內全部電腦,同時還會在用戶電腦中留下後門病毒,用以執行更多惡意攻擊,如勒索病毒、挖礦病毒。 火絨工程師經過技術分析發現,該蠕蟲病毒會經過遠程服務器和自身爬蟲功能收集局域網內的IP列表,而後對其中的多個服務端口發起攻擊,包括RPC服務(135端口)、SQLServer服務(1433端口)、FTP服務(21端口),同時還會經過 "永恆之藍"漏洞,入侵445端口,攻擊電腦。 因爲該病毒針對企業不便關閉的多個經常使用端口進行攻擊,而且利用了局域網電腦中廣泛未修復的"永恆之藍"漏洞,一旦任何一臺電腦被該病毒感染,將意味着局域網內全部電腦都面臨被感染的風險,尤爲給政企機構用戶形成極大威脅。 若是病毒成功入侵或攻擊端口,就會從遠程服務器下載病毒代碼,進而橫向傳播給局域網內其餘電腦。同時,該病毒還會在被感染電腦中留下後門病毒,以準備進行後續的惡意攻擊,不排除將來會向用戶電腦傳播更具威脅性病毒的可能性,例如勒索病毒等。 火絨工程師經過技術溯源發現,從2017年06月23日(甚至更早) 至今,該黑客組織一直使用該系列蠕蟲在全網進行大規模的信息收集。且一直保持對病毒的更新。web
火絨"企業版"和"我的版"最新版都可完全查殺蠕蟲病毒" Worm/Sharp "。同時,政府、企業、學校、醫院等受此類病毒威脅較大的局域網用戶,咱們建議申請安裝"火絨企業版",可有效防護局域網內病毒屢殺不絕的難題。目前火絨免費提供三個月試用期,歡迎你們前來體驗試用。 "火絨企業版"申請試用地址:https://www.huorong.cn/essmgr/essreg
2、 詳細分析 今年上半年,"火絨終端威脅情報系統"檢測到Worm/Sharp變種在肆意傳播,Worm/Sharp或將捲土重來。該變種經過與C&C服務器進行通信以及內置的爬蟲功能獲取目標的IP地址及端口,對RPC服務(135端口)、SQLServer服務(1433端口)、FTP服務(21端口)進行爆破,使用永恆之藍漏洞對445端口進行入侵,若是入侵或爆破成功則執行腳本從C&C服務器上下載初始樣本,初始樣本通過多重釋放,最終運行Worm/Sharp蠕蟲。除此以外還會判斷目標IP是否爲代理服務器,以及對從C&C服務器獲取的路由器IP地址列表發起TCP鏈接以判斷7547端口的連通性,爲下一步的攻擊作準備。 初始樣本執行流程,以下圖所示:數據庫
初始樣本執行流程 原始樣本(A22.exe)是通過PECompact加殼過的,在運行過程當中會釋放lib32Waxe.exe,lib32Waxe.exe帶有混淆器在內存中會解壓縮.Net惡意代碼,並經過調用ComCallPreStub來執行這段.Net惡意代碼,以後進入Worm/Sharp核心代碼,Worm/Sharp有兩大核心功能。核心功能,以下圖所示:
病毒核心功能 初始樣本(A22.exe)由VB編寫而且加了PECompact殼,在執行過程當中會釋放lib32waxe.exe,並建立服務WaxeSvc,主流程執行完後會啓動自刪除進程。初始樣本主流程,以下圖所示:
初始樣本執行流程 lib32Waxe.exe帶有混淆器在執行過程當中解壓縮 Worm/Sharp蠕蟲代碼。載入二進制資源代碼,以下圖所示:
載入資源 載入的二進制資源通過zlib壓縮,zlib版本爲1.2.3。解壓後能夠得到.Net惡意代碼。解壓縮代碼,以下圖所示:
解壓縮代碼 在最後使用CLR API 實如今C++中運行.Net惡意代碼,調用Clr.dll中未公開的函數ComCallPreStub運行Worm/Sharp蠕蟲。 調用ComCallPreStub函數相關代碼,以下圖所示:
啓動蠕蟲代碼 該蠕蟲分爲獲取被攻擊的IP列表和入侵攻擊兩部分功能,兩部分功能相互協做,不分前後,且兩部分功能中的每個操做均爲一個獨立線程。 (一) 獲取被攻擊的IP列表
- 爬蟲功能 該蠕蟲內置了爬蟲功能,能夠根據隨機字符串搜索、關鍵字搜索、與C&C服務器通信和Weblogs搜索來擴充本身的IP列表,爲入侵攻擊功能提供數量龐大的主機列表。 1.1 經過搜索引擎搜索隨機字符串 該線程會維持一個list列表,當列表中的數量小於等於200時,調用Random_Sting_1函數隨機生成字符串,並做爲GetList_FromYahooAndBing方法的參數,在Yahoo和Bing 搜索引擎中進行搜索。篩選出符合要求的,進行正則過濾,正則代碼以下[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\:[0-9]{1,5}。 在List_Filter方法中會根據端口號對list中的目標主機進行分類,爲入侵攻擊功能提供攻擊目標。 函數邏輯,以下圖所示:
搜索隨機字符串 1.2 經過搜索引擎搜索關鍵字擴充FTP列表 函數邏輯,以下圖所示:
ExpandFTPList()函數邏輯 在GetIPList_keyWordString_FromBingAndYahoo方法中定義了一個數組array,以下圖所示:
用於拼接的字符串數據 拼接了兩個字符串 String a = "domain:"+array[Random(array.Length)]+Random(10000).ToString String b = "site::"+array[Random(array.Length)]+Random(10000).ToString 使用Bing搜索字符串a,添加符合要求的IP保存到list 使用雅虎搜索字符串b,添加符合要求的IP保存到list UseIPList_FromBing回調使用Bing搜索"ip:"+list列表中的地址,篩選21端口的IP地址,調用AddFTPList回調將篩選後的IP加入FTP爆破的List中,用於入侵攻擊功能進行攻擊。 1.3 經過與C&C通信更新相應的列表 Route_TCP_Connect函數從C&C服務器(hxxp://tz.gxout.com/ip/route_tcp.aspx)獲取DES加密後的路由IP地址列表,DES解密的key=" 20110520",IV={32,17,5,32,33,1,88,72}。解密以後發起TCP鏈接,判斷7547端口是否存活,若是存活則添加到相應的List中。 TCP_Connect函數與上述相似,只是請求的地址有所不一樣,通信地址爲 (hxxp://tz.gxout.com/ip/tcp.aspx),主要篩選13五、44五、1433端口的IP地址。總體邏輯,以下圖所示:
與C&C服務器通信邏輯 1.4 經過weblogs.com蒐集信息擴充1433端口IP列表 蠕蟲會從http://rpc.weblogs.com/shortChanges.xml下載shortChanges.xml,對xml文件進行解析。調用GetWeblogList_AfterFilter函數過濾Xml的內容,調用GetUrl_FromList將WeblogList中的URL提取出來,調用UrlListFilter過濾以.xml、.rss、.pdf、.gz、和.doc結尾的URL。調用StringManipulationAndAddList函數篩選端口爲1433的IP地址,添加到1433爆破的List中。總體邏輯,以下圖所示:
Weblogs蒐集信息邏輯 2. 執行遠程惡意代碼 經過訪問黑客的C&C服務器(ftp:// in.siolio.com),下載FTP上的exe並執行。該功能能夠做爲一個後門功能,便於後續攻擊的展開。相關代碼,以下圖所示:
下載可執行文件並執行 FTP帳號及密碼,以下圖所示:
FTP帳號密碼 3. 修改註冊表關閉TCP/IP的鏈接數限制。 修改註冊表,以下圖所示:
修改鏈接數限制
(二) 入侵攻擊功能 蠕蟲會經過與C&C服務器(hxxp://api.gxout.com/ip/google.aspx)進行通信獲取加密後的IP列表,解密過濾後,加入相應的List中。入侵攻擊功能分爲如下6個部分:FTP爆破、135端口爆破、445端口入侵、1433端口爆破、7547端口回連、代理服務器檢測,而且當斷網的狀況下,會自動遍歷內網IP對內網的其餘服務器進行爆破和漏洞攻擊。功能線程,以下圖所示:api
功能線程
- FTP爆破 獲取被攻擊的IP列表功能中已經對FTP的列表進行了擴充,因此在入侵攻擊功能中直接開始爆破,內置的字典(部分),以下圖所示:
登陸信息字典 若是爆破成功則向目標IP上傳測試文件,對上傳路徑進行Http請求,刪除上傳的文件,比較內容,相同則返回全路徑,以後將網站的域名(ip地址)+ftp用戶名+ftp密碼+上傳文件的完整路徑進行URL編碼發送到C&C服務器(hxxp://tz.gxout.com/ftp/set.aspx)上。程序流程,以下圖所示:
測試和發送流程 2. 135端口爆破 使用的帳號爲Administrator,密碼字典,以下圖所示:
密碼字典 爆破成功以後,會在目標服務器生成批處理文件並執行最終執行的批處理,以下圖所示:
批處理內容 3. 445端口入侵 該蠕蟲除了爆破功能以外還會經過漏洞進行入侵,使用永恆之藍對服務器進行攻擊。 部分Payload,以下圖所示:
永恆之藍Payload 4. 1433端口爆破 帳號默認sa,密碼字典(部分),以下圖所示:
密碼字典 爆破成功的行爲除了執行批處理命令以外還會執行腳本和數據庫操做,部分腳本以下:
命令腳本 此外還會對目標主機的註冊表進行操做,禁用CMD、映像劫持。註冊表操做,以下圖所示:
註冊表操做 5. 7547端口IP列表發送 在獲取被攻擊的IP列表功能中已經對從C&C服務器獲取的路由器IP列表進行了過濾和檢測,入侵攻擊功能中對該列表進行DES加密URL編碼後發送到C&C服務器(hxxp://tz.gxout.com/ip/port_set.aspx)。通信代碼,以下圖所示:
HTTP鏈接 6. 代理服務器檢測 當端口不是13五、44五、143三、7547時,會檢測目標機器的IP地址和端口是否爲代理服務器,將其做爲代理服務器鏈接Yahoo,鏈接成功則進行DES加密發送給C&C服務器(hxxp://api.gxout.com/proxy/google.aspx)。邏輯流程,以下圖所示:
代理服務器檢測
3、 同源性分析 對黑客的C&C服務器進行溯源,能夠發現該C&C服務器地址最先能夠追溯到2017年6月23日,以下圖所示:數組
VT上的分析結果 當時從該網站上面下載的蠕蟲的名稱爲A11.exe,而咱們分析的樣本名爲A22.exe,最近一次更新時間爲2018年7月23日。以下圖所示:
黑客FTP上的內容 由此可知,從2017年06月23日(甚至更早) 至今,該黑客組織一直使用該系列蠕蟲在全網進行大規模的信息收集,且一直保持對病毒的更新。 4、 預警 該蠕蟲的目的是全網傳播並將蒐集到的相關信息發送到C&C服務器上,何況Worm/Sharp還有一個後門功能,黑客已經使用該系列的蠕蟲收集了一年多的時間,在將來頗有可能會發動大規模的攻擊。
5、 附錄 文中涉及樣本SHA256:安全