Author:360天眼實驗室
人在做,天在看。
11月底的時候,360天眼安全實驗室發布了一篇文章:網絡小黑揭秘系列之私服牧馬人,揭露了一起污染私服搭建工具和用戶登錄端程序進行木馬傳播的事件。其實,類似的案例遠不限于此,這次我們揭露另一根鏈條出來,當然還是從一個樣本開始。
實驗室在日常的惡意代碼處理時注意到了一個文件名為“YY某主播視頻.exe”(MD5: 27C8E69F7241476C58C071E83616D2B5)的遠控木馬:
基本上,如果是一個國產木馬,如果猜大灰狼,你就有90%的概率正確,這個木馬當然也是。木馬作者命名為“killqipilang”,就算大灰狼的變種吧。
對樣本的分析就不多說了,想了解大灰狼遠控的代碼架構可以參看天眼實驗室之前的那個揭秘。很容易就提取到木馬內部編碼過的上線URL為“qq867126996.3322.org”:
使用360天眼實驗室的可視化關聯分析系統進行追蹤溯源,發現該木馬還關聯了另一個上線URL:luanqi.net。由此線索繼續,又關聯到更多樣本,其中一個名為“hexSB360.exe”(沒錯,木馬作者對360都懷有極深的怨念)的程序(MD5: E4C62055D1BCEB88D97903562B9E1BE8),又一個大灰狼遠控。
從此樣本,我們提取到了其核心遠控模塊下載地址:http://118.***.***.230:8080/Consys21.dll
。
整個交互式的分析過程在交互式的關聯平臺上就是如下這個樣子:
關聯系統還告訴我們這個木馬還使用了其他多個上線域名。有免費的二級域名qq867126996.3322.org、q332299.f3322.net,也有收費的頂級域名luanqi.net、lyisi.org、sb.jiushao.net、huo-dian.com。
對非免費域名做追溯一般是非常重要的突破點,我們可以查詢一下相關的Whois信息。以下是域名luanqi.net的,可見做了隱私保護。
域名lyisi.org的:
域名jiushao.net的
域名huo-dian.com的:
[email protected],其名下注冊的域名大多數已經被360攔截,其中不乏淘寶釣魚站或者虛假商城,比如www.000268.cn,現時應該iphone6s才是熱門機型,iPhone5都已經淘汰了,卻出現在該商城的首頁,只能說釣魚也不夠用心。
在知道了樣本關聯出來的網絡基礎設施以后,利用一個眾所周知的漏洞我們控制了小黑使用的某些服務器。在其中一臺服務器上,我們看到了大灰狼遠控的管理程序,在任務管理器這個木馬控制端程序的CPU占用已經達到了12%:
當時由于小黑正在線,我們用netstat命令查看一下該主機上目前已經上線的肉雞:
嗯,似乎控制的肉雞并不多,這個服務器就只是做木馬的控制端嗎?沒那么簡單,接著往下看。
翻服務器磁盤,我們發現該服務器上有個“泛站群系統”,該系統可以使得國內的搜索引擎收錄更快,但被降權的速度也很快,所以這些服務器上會起用大量的域名和IP。下圖是系統的使用說明:
這臺服務器上綁了多個外網IP:
依賴360網絡研究院提供的DNS基礎數據,我們獲取了近期綁定在這些IP上的域名列表如下:
從這張列表中抽取了部份域名在某搜索引擎中做了驗證,發現結果讓我們有些心驚膽跳:
很顯然都是SEO賣槍的,而這些槍的關鍵詞又正好在服務上就有發現:
通過whois信息的查詢,[email protected],從這樣直白的郵箱名來看,郵箱背后的人看來專門從事槍關鍵詞SEO。
繼續挖掘服務器上的文件,我們還發現了XISE Webshell管理器,呵,一個好長的列表,已經被地下管理員接管的機器真不少:
這些被黑的站點用來做什么了呢?看看小黑怎么操作那些Webshell就知道了:
可見除了在自己的網站使用“泛站群”達到快速惡意SEO的目的,小黑還使用掃描器大量掃描存在漏洞的網站植入webshell,向這些網站寫入要SEO的信息達到快速SEO的目的。隨機抽了些被黑SEO的網站:
政府網站歷來都是被黑鏈的重災區,對此只能一聲嘆息。
翻服務器文件系統的過程中總是驚喜不斷,打開一個目錄"XISE蜘蛛池\niubi\keywords"
下的1.txt,里面一堆和支付寶相關的關鍵詞挺令人震驚:
原來小黑還通過“泛站群”做惡意SEO,使人在使用國內某些搜索引擎的時候找到釣魚信息,坐等魚上鉤:
使用這臺服務器的小黑也和絕大多數小黑一樣,都是拿來主義,可拿來主義不等于免費主義,要么自己多個心,要么就交點學費。我們從這臺服務器上取回來的SSH爆破程序包中就直接發現了“Usp10.dll”(MD5: B846B1BD3C4B5815D55C50C352606238)的盜號木馬,而運行“SSH最終版(穩定).exe”(MD5: 59F7BC439B3B021A70F221503B650C9C)這個主程序后也會在%temp%
文件夾中釋放2個文件:一個SSHguiRelease.exe(MD5: AB72FC7622B9601B0180456777EFDE5D),真正的SSH爆破程序;另一個filter32.exe(MD5: 7218C74654774B1FDE88B59465B2748C),使用易語言編寫的程序,經分析發現該文件會向147***|||**|*@163.com這個郵箱發送文件。
外面的Usp10.dll可能是被無意感染的,而里面的那個發郵件后門則明顯是故意植入的,防不勝防。
Usp10.dll這類惡意代碼是dll劫持型木馬,一個小心就全盤感染了。但從服務器上取回來的樣本中只有2個軟件包存在,且都是工具類的,服務器上并沒有感染這個樣本。
上面這個工具可能來源于“泯滅安全網”,寫稿時湊趣地網站維護了,只好貼個搜索快照圖:
對后門代碼進一步反匯編分析,確認147|||@163.com即是收件郵箱又是發送的郵箱,而這個郵箱的密碼是:sgg||*|**cc,通過SMTP協議將要偷取的信息發送出去。下圖是涉及在黑客工具中植入的后門往163郵箱發送數據的代碼:
隨后使用木馬中配置的賬號和密碼進入這個發件郵箱,我們當然會摸進郵箱里去看看了。在收件箱中有41封郵箱,發件箱中有388封,已刪除郵箱有5封,而這些數據僅是近一個月的數據。
通過統計所有郵件頭中的“Received”包含的IP,可以看到有不少中招小黑交了大量的學費。
在這些郵件中,不僅有小黑們的木馬配置信息,還有大量掃描出來的IP及相對應的賬號和密碼信息。
在黑產圈子,沒有黑吃黑才是不正常的,關于工具后門其實還有可說的,請期待天眼實驗室的下一篇扒皮。
比較逗的是,這個服務器上的黑客工具居然有感染了“Parite”病毒,可能是我們在翻服務器文件時激活的(論服務器也安個360的重要性),以致于最新更新的大灰狼遠控也被感染了。
因為“Parite”會使得系統變慢,不停的彈出文件保護的窗口,使大灰狼遠控不再免殺,可能因為這個原因小黑發現異常把系統重做了導致我們對服務器失去控制。
就這樣,我們零距離觀察了一臺多功能的黑產工作站(只是眾多機器之一),我們的發現大致可以歸納成如下的圖:
操作這些的是新時代的Script Kiddies,他們租個服務器,找些自動化的擼站工具,程序開起來就算開干了,充當產業鏈上最初級的角色,在他的環節里通過現成的渠道變點現。他們所使用的服務器工具存在漏洞,擼站工具包含后門,甚至都處理不了惡意代碼的感染,因這些問題的損失都是技能不足交的稅。他們最容易被分析和打擊(如果有人想打擊的話),但是,這一切都不會影響他們的活動,只要能不怎么花力氣的掙點錢。
另外,天眼實驗室還在招人,惡意代碼分析方向,海量多維度的數據帶來不同的眼界,投條請往:zhangshuting@360.cn
以下就是些入侵指示數據,盡管現在威脅情報很熱,但目前國內的安全設備對于機讀IOC的支持并不廣泛,也就不裝模作樣地提供什么OpenIOC或STIX格式的XML了,讀者可以根據自己的需要加入到設備的檢測目標里。
類型 | 值 | 備注 |
---|---|---|
MD5 | 27C8E69F7241476C58C071E83616D2B5 | YY某主播視頻.exe |
MD5 | E4C62055D1BCEB88D97903562B9E1BE8 | hexSB360.exe |
MD5 | B846B1BD3C4B5815D55C50C352606238 | usp10.dll |
MD5 | 59F7BC439B3B021A70F221503B650C9C | SSH最終版(穩定).exe |
MD5 | 7218C74654774B1FDE88B59465B2748C | filter32.exe |
Domain | qq867126996.3322.org | CC地址 |
Domain | q332299.f3322.net | CC地址 |
Domain | luanqi.net | CC地址 |
Domain | lyisi.org | CC地址 |
Domain | sb.jiushao.net | CC地址 |
Domain | huo-dian.com | CC地址 |
Domain | www.000268.cn | 釣魚網站 |
Domain | www.dlyymy.cn | 黑客網站 |
[email protected] | 注冊大量釣魚網站 | |
[email protected] | 注冊大量槍支推廣網站 |