9106

作者：Mr.Right、Evancss

申明：文中提到的攻擊方式僅為曝光、打擊惡意網絡攻擊行為，切勿模仿，否則后果自負。

0x01 發現問題

在對客戶網絡內網進行流量監控時發現，一臺主機172.25.112.96不斷對172.25.112.1/24網段進行TCP445端口掃描，這個行為目的在于探測內網中哪些機器開啟了SMB服務，這種行為多為木馬的通信特征。

過濾這個主機IP的全部數據，發現存在大量ARP協議，且主機172.25.112.96也不斷對內網網段進行ARP掃描。

發現問題后，我們就開啟對這臺主機的深入分析了。

0x02 Lpk.dll劫持病毒

第一步，DNS協議分析。過濾這臺主機的DNS協議數據，從域名、IP、通信時間間隔綜合判斷，初步找出可疑域名。如域名yuyun168.3322.org，對應IP為61.160.213.189。

過濾IP為61.160.213.189的全部數據可以看到主機172.25.112.96不斷向IP地址61.160.213.189發起TCP7000端口的請求，并無實際通信數據，時間間隔基本為24秒。初步判斷為木馬回聯通信。

再發現可疑域名gcnna456.com，對應IP為115.29.244.159。

過濾IP為115.29.244.159的全部數據可以看到主機172.25.112.96不斷向IP地址115.29.244.159發起TCP3699端口的請求，并無實際通信數據，時間間隔也基本為24秒。初步判斷也為木馬通信數據。

把這兩個域名請求的DNS信息都提取出來（當然，這里僅用WireShark實現就比較困難了，可以開發一些工具或利用設備），部分入庫后可看見：

時間	客戶端	服務器	域名
2015/8/3 19:40	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:40	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:41	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:41	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:41	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:41	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:41	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:41	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:42	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:42	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:42	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:42	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:43	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:43	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	172.25.112.96	8.8.8.8	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	8.8.8.8	172.25.112.96	yuyun168.3322.org
2015/8/3 19:44	172.25.112.96	8.8.8.8	yuyun168.3322.org
時間	客戶端	服務器	域名
2015/8/3 19:41	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:41	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:41	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:41	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:41	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:41	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:42	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:42	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:42	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:42	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:42	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:42	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:43	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:43	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:43	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:43	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:44	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:44	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:44	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:44	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:44	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:44	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:45	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:45	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:45	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:45	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:46	8.8.8.8	172.25.112.96	gcnna456.com
2015/8/3 19:46	172.25.112.96	8.8.8.8	gcnna456.com
2015/8/3 19:46	8.8.8.8	172.25.112.96	gcnna456.com

從統計可以看出，這兩個域名的請求一直在持續，且時間間隔固定。

為探明事實真相，我們對這臺電腦進程進行監控，發現了兩個可疑進程，名稱都是hrl7D7.tmp，從通信IP和端口發現與前面分析完全吻合。也就是說，域名yuyun168.3322.org和gcnna456.com的DNS請求數據和回聯數據都是進程hrl7D7.tmp產生的。

進一步查詢資料和分析確認，這個惡意進程為Lpk.dll劫持病毒。

0x03 飛客（Conficker）蠕蟲

當然，完全依靠域名（DNS）的安全分析是不夠的，一是異常通信很難從域名解析判斷完整，二是部分惡意連接不通過域名請求直接與IP進行通信。在對這臺機器的Http通信數據進行分析時，又發現了異常：HTTP協議的頭部請求中存在不少的“GET /search?q=1”的頭部信息。

如IP為95.211.230.75的請求如下：

Follow TCPStream提取請求信息如下，請求完整Url地址為：95.211.230.75/search?q=1，返回HTTP404，無法找到頁面。

通過請求特征“/search?q=1”繼續分析，如IP地址221.8.69.25，請求時間不固定，大約在20秒至1分鐘。

再如IP地址38.102.150.27，請求時間也不是很固定。

再如IP地址216.66.15.109，請求時間也不是很固定。

把含此特征的請求IP、域名以及HTTP返回狀態碼進行統計，如下表：

時間	客戶端	服務器	請求URL	狀態
19:03	172.25.112.96	221.8.69.25	http://221.8.69.25/search?q=1	200
19:03	172.25.112.96	38.102.150.27	http://38.102.150.27/search?q=1	404
19:04	172.25.112.96	216.66.15.109	http://216.66.15.109/search?q=1	404
19:14	172.25.112.96	95.211.230.75	http://95.211.230.75/search?q=1	404
19:29	172.25.112.96	46.101.184.102	http://46.101.184.102/search?q=1	200
3:17	172.25.112.96	54.148.180.204	http://54.148.180.204/search?q=1	404

可以發現，一共請求了6個IP地址，請求URL地址都為http://IP地址/searh?q=1，有4個IP請求網頁不存在，有兩個請求網頁成功。

過濾DNS協議，通過搜索找到6個IP對應的域名：

221.8.69.25：nntnlbaiqq.cn；
38.102.150.27：boqeynxs.ws；
216.66.15.109：odmwdf.biz；
95.211.230.75：ehipldpmdgw.info；
46.101.184.102：eqkopeepjla.info；
54.148.180.204：rduhvg.net；

可以看出6個域名名稱都很像隨機生成的。對DNS進一步分析時還發現大量無法找到地址的域名請求，如圖：

將此錯誤請求進行統計，僅在監控期間就請求過148個錯誤的域名。通過這些域名名稱可以初步判斷，該病毒請求采用了DGA算法隨機生成的C&C域名（詳細了解可移步：[http://drops.wooyun.org/tips/6220][用機器學習識別隨機生成的C&C域名]）。大量隨機生成的域名不存在或控制端服務器已注銷關機，導致大量請求失敗。

時間	客戶端	服務器	查詢	狀態
2015/8/3 22:31	172.25.112.96	8.8.8.8	nlasowhlhj.org	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	diadcgtj.com	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	idwcjhvd.com	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	cacbwanw.net	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	pqepudpjcnc.org	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	lqxlx.cc	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	qmnqag.info	失敗
2015/8/3 22:31	172.25.112.96	8.8.8.8	tivet.org	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	zvzpzgtiz.com	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	whfgzs.cc	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	uqowfosm.com	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	pxidlhtlhqz.org	失敗
2015/8/3 22:32	172.25.112.96	8.8.8.8	hzxloguigf.org	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	yaovrr.com	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	iazabdcwf.net	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	qbzzehgnadn.net	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	xvmtjcehe.net	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	pvugavxsx.org	失敗
2015/8/3 22:33	172.25.112.96	8.8.8.8	lgxvyyzs.info	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	rspgnhx.com	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	pbwgoe.com	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	wtexobkv.net	失敗
2015/8/3 22:34	172.25.112.96	8.8.8.8	jjvyyyexxk.cc	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	uvxklheapu.net	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	wdbsw.org	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	wsflkzxud.net	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	zmbfcf.org	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	uzerepiq.net	失敗
2015/8/3 22:35	172.25.112.96	8.8.8.8	vszcgubl.info	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	aqerqeiigme.info	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	zrpavmfitq.cc	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	ugoxslfxazt.net	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	tzorilkpyg.com	失敗
2015/8/3 22:36	172.25.112.96	8.8.8.8	oqhwvgpvsjw.info	失敗
2015/8/3 22:37	172.25.112.96	8.8.8.8	icsqhpnr.org	失敗
2015/8/3 22:37	172.25.112.96	8.8.8.8	bpvuftucv.org	失敗
2015/8/3 22:37	172.25.112.96	8.8.8.8	kmdgcblyibz.cc	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	xilpn.cc	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	iumygnris.org	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	tmypuykvfzj.com	失敗
2015/8/3 22:38	172.25.112.96	8.8.8.8	jhiozaveoi.net	失敗
2015/8/3 22:39	172.25.112.96	8.8.8.8	gvjrenffp.net	失敗
2015/8/3 22:39	172.25.112.96	8.8.8.8	geiradmz.info	失敗

過濾IP為221.8.69.25的HTTP成功請求數據，提取文本內容可以看到請求成功的網頁顯示內容：

<html><body><h1>Conficker Sinkhole By CNCERT/CC!</h1>
</body></html>

通過HTTP響應可以推斷，該機器可能感染了飛客（Conficker）蠕蟲病毒，進一步我們推斷國家互聯網應急中心（CNCERT/CC）已得知此域名被飛客病毒所用，并將該域名放入飛客病毒域名污水池（Sinkhole）以緩解該病毒帶來的風險。

至此基本確定該主機已感染飛客病毒，后續我們使用飛客病毒專殺工具進行殺毒，并對操作系統進行補丁修復后，該主機網絡通訊恢復正常。

0x04 總結

關于Lpk.dll、Confiker病毒的逆向分析，網上有很多資料，本文就不繼續分析；
無論是木馬還是惡意病毒，一旦感染就會與外界通信，就可以通過流量監測發現；
木馬病毒的內網滲透行為可基于局域網監測分析技術進行監控；木馬病毒的回聯通信行為分析可結合域名請求、心跳數據特征檢測進行分析。

亚洲欧美在线