<span id="7ztzv"></span>
<sub id="7ztzv"></sub>


<span id="7ztzv"></span><form id="7ztzv"></form>


<span id="7ztzv"></span>
    

      

        <address id="7ztzv"></address>
            
				
            原文地址:http://drops.wooyun.org/papers/8790
            
				
      
            
        
            微信公眾號:Antiylab
            


            0x01 概述
            


            


            近期,安天第三代蜜罐捕風系統捕獲到一個下載者樣本。該樣本運行后訪問一個由黑客搭建的輕型文件服務器(Http File Server)。通過使用捕風系統進行追溯與關聯分析,分析人員發現目前有很多使用HFS搭建的服務器,通過對其中一個下載服務器進行監控,其在線6天的總點擊量近3萬次,可見其傳播范圍極廣。該軟件的“傻瓜式”教程頗受低水平的攻擊者喜愛,同時由于其架設方便,便于傳播等特點,已被黑客多次惡意利用。經過安天CERT分析人員進行關聯與分析發現,目前這種輕型服務器工具已普遍流行。
            


              

            1. 樣本標簽
              


              


              圖1 樣本標簽
              




              黑客利用弱口令入侵MySQL數據庫服務器后使用MySQL指令建立表,并新建變量,將可執行二進制碼寫入變量并插入表中,然后將表中的可執行二進制文件Dump到數據庫服務器中,最后執行文件。這種手法也是黑客入侵數據庫慣用的手法。
              


              該樣本運行后動態獲取自身代碼,隨后進行提權操作,關鍵功能為枚舉殺毒軟件金山衛士進程名KSafeTray.exe。如果存在此進程,則終結進程。
              


              


              圖3 殺掉金山衛士進程
              


              惡意代碼連接服務器(IP:118.193.:1010)
              


              


              圖4 聯網操作
              


              當惡意代碼連接該服務器端口時,服務器端口失效。而在安天CERT分析人員連接該IP時發現一個輕型服務器,上面有一個惡意代碼(1010.exe)
              2. 

            2. 服務器樣本分析
              


              


              圖5 樣本標簽
              


              


              圖6 服務器樣本流程
              


              該黑客服務器上線不到2個小時即被安天CERT捕獲到。該樣本首先解密下載服務器的地址,隨后判斷該樣本是否帶參數運行及參數是否包括“Win7”字符串,如果不包括或者不帶參數運行則進入創建具有下載功能的線程,進入創建線程時判斷傳遞給線程的參數是否為空,如果不為空則進入線程創建過程,如下圖所示。
              


              


              圖7 創建線程流程
              


              惡意代碼進入線程后,將參數字符串(實際為連接服務器的地址)傳遞給連接服務器函數。該線程負責下載其他惡意代碼。
              


              如果惡意代碼帶參數且包含“Win7”字符串時,則惡意代碼直接跳過線程代碼創建過程,將文件名稱和標志位傳遞給連接服務器函數,隨后進行重新連接該服務器地址,重新下載1011.exe文件并保存在C:\Windows\AppPatch目錄下起名為“mysqld.dll” 運行。
              


              


              圖8 帶參數運行流程
              


              該服務器于9月8日剛剛上線,感染速度日趨增長,如下圖所示:
              


              IP地址:118.193..(香港特別行政區中國電信沙田國際數據中心)
              


              


              


              圖9 服務器上線一天的點擊量
              3. 

            


            0x02 關聯類似服務器
            


            


            通過進一步關聯分析,發現在安天蜜罐系統中另一個樣本所鏈接的地址也是使用Http File Server搭建的服務器。服務器域名為qj0..,對此安天CERT對該域名進行幾天跟蹤發現該域名更換過4次IP(如下圖所示),且服務器均為阿里云提供。采取動態域名、利用阿里云提供服務器,這兩個手法相互結合更加提高了惡意團伙的隱蔽性。黑客購買了多個阿里云服務器用來傳播惡意代碼,且時常更換IP,并用IP綁定其他域名等方式來擴大惡意代碼傳播范圍,同時將自己隱藏的更深。
            


            


            圖10 域名頻繁更換阿里云服務器
            


            


            圖11 惡意服務器點擊量
            


            惡意服務器定期更新惡意代碼,并且感染量增長較快。
            


            服務器惡意代碼病毒名統計如下:
            


            


            安天CERT于9月7日捕獲到了另外一種類似惡意代碼下載服務器地址,該服務器在捕獲的時候點擊量已經近萬。服務器上的軟件幾乎均為惡意代碼,惡意代碼功能多為后門和下載者,惡意代碼功能列表詳見下方表格。
            


            


            圖12 惡意服務器
            


            安天CERT分析人員跟蹤該服務器一周時間發現,總點擊量呈線性增長,幾乎每天增加3000的點擊量。如下圖所示:
            


            


            圖13 服務器點擊量日趨勢
            


            服務器惡意代碼病毒名統計如下:
            


            


            安天分析人員通過跟蹤與挖掘發現,目前這種黑客服務器非常常見,如下圖所示:
            


            


            圖14 惡意服務器
            


            


            圖15 惡意服務器
            


            0x03 總結
            


            


            目前,隨著“黑色產業”的巨大經濟利益誘惑,商業化的黑客工具包的使用變得越來越流行。這種能夠“短平快”地產出惡意代碼的方式讓新手的入門門檻越來越低,一個沒有經驗的新手通過短時間的工具學習,就能輕松掌握入侵計算機竊密的方法。不僅僅是黑客工具,就算是一個普通的,用于構建正常服務的工具也能被輕易地被黑客利用,比如,輕量級Http服務器(Http File Server)正以其架設方便、便于操作等特點受到越來越多用戶的青睞。與此同時,黑客也能利用在云端搭建輕型服務器與使用動態域名相結合的手段使得惡意代碼能夠更廣泛、隱蔽地傳播。這種輕量、便捷的服務器工具將會被越來越多的黑客或者新手使用,這無疑會加速惡意代碼的傳播。
            


            這種工具式的黑客技術,讓惡意代碼的生產周期變的更短。依托商業工具進行攻擊降低了攻擊成本,同時提高了檢測難度和傳播速度。這種難度小、門檻低、成本少的攻擊手法將使互聯網的黑色產業鏈變得更加魚龍混雜,同時也給互聯網安全帶來更多的挑戰。
            


            博客地址
                  
            
    
			

            <span id="7ztzv"></span>
            <sub id="7ztzv"></sub>
            

            <span id="7ztzv"></span><form id="7ztzv"></form>
            

            <span id="7ztzv"></span>
              

                

                  <address id="7ztzv"></address>
                      

亚洲欧美在线