安全分析与研究python
专一于全球恶意软件的分析与研究web
事件调查vim
2020年6月29日-数据的收集和整理安全
由客户提供的一张带有某域名的图片开始了我本次的分享内容,原始图片以下所示:服务器
经访问发现js.1226bye.xyz:280/v.sct竟然仍是存活状态,经过js.1226bye.xyz:280/v.sct拿回来一些信息,以下所示:微信
其中ups.dat是经过js.1226bye.xyz:280得v.sct脚本内容获取,以下所示:网络
紧接着ups.dat 自启动的压缩文件,用于释放内部文件,文件内容以下所示:工具
一样的upx.exe也是采用了一样的方法存储了内部的文件,文件内容以下所示:学习
n.vbs内容相对简单,就是启动位于%temp%目录下的c3.bat,以下所示:flex
c3.bat就有所不一样了,是一个内容很是复杂的处理脚本,从内容上看像一个清理脚本,以下所示:
同时有建立计划任务,名为Mysa和Mysa2等,以下所示:
清理相关计划任务的操做,以下所示:
经过设置自启动来启动后门,下载位于http://js.mys2016.info:280/v1.sct的脚本内容,以下所示:
除此以外还使用wmic下载http://ruisgood.ru域名下的相关文件,以下所示:
经过这一部份内容信息关联到一些其余的下载信息,以下所示:
最后的excludes,查看内容后发现应该是一个挖矿的配置信息,内容以下所示:
这次以上的信息,都是经过一张图片得来,果真搜索引擎的强大不是人脑力所可以比拟的,同时也须要作应急的人员拥有足够敏锐的观察力,要是我之前估计啥都没有。好歹也出来混了一段时间,仍是要有点观察力的。(啊哈哈哈,感受本身逐渐的开始流批了,低调,我要低调。咳咳咳)
到这里基本上就是客户第一天为我提供的所有信息。(tmd,就一张图,并且把客户因为不知道中了啥玩意,被通告修改,不给上外网,竟然想着用手机开热点,最后卡成PPT。)
2020年6月30日-日志分析与信息整理
心想着要是今天不给信息,我就搞Denes的后续提取分析了,没想到刚开工一会,就送来一些可能相关的样本,没办法了,样本都送过来了仍是瞅瞅吧。
首先有个info和Temp目录,还有一个system目录,一个一个慢慢看。
Info目录下有个msief.exe,和以前发现的ups.dat同样是一个自启动的压缩文件,不过相比以前的c3.bat,这个版本的c3.bat不太那么同样。
这些涉及到的域名不是失效就是文件或目录不存在,以下所示:
紧接着继续看Temp目录下的文件状况,以下所示:
conhosta.exe也是用于释放c3a.bat的,一样的仍是看看bat的内容。内容上大同小异,仍是有些地方不太同样,以下所示:
将特殊域名本地化,将内容写入到C:\Windows\System32\drivers\etc\hosts文件中,进行本地解析,以下所示:
终于经过c3a.bat里面的power.txt找到一个可用的download.txt,并最终下回来了全部在download中列出来的文件,以下所示:
其中的u.exe 主要功能用于设置DNS,设置的值为223.5.5.5和8.8.8.8,以下所示:
conhost.exe 经过查询到的资料代表,该程序多是利用了pcshare的源码修改后的程序,主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。若是第一次运行,会释放一个xpdown.dat文件,位于C:\Program Files\Common Files目录下。
xpdown.dat的内容是一组ip和域名的集合,以下所示:
剩下的几个文件在后面的分析中会说起,这里先不作说明。
最后看下system目录下的文件,开始的时候只有csrs.exe一个程序,通过多方面的处理以后提取出相关的资料,以下所示:
csrs.exe,运行后发现有不少跟python相关的文件,怀疑是python打包的exe。使用工具提取一看,还真是python的。(这里作一个额外的说明,大多数python打包的文件,在执行的时候都会释放一些python相关的文件,能够做为是不是python打包的一个点),以下所示:
经过相关资料和技术手段,修复pyc头部,并最终反编译获得了原始的py文件,是一个明显利用了ms17010的后门程序,以下所示:
经过
https://img.vim-cn.com/ef/5ab12fdf434f480022a89524ef1f6f97f92786.xml的内容继续寻找,仍是找到了一些相关联的东西,以下所示:
其中ups.rar为以前说起的u.exe,主要用于设置dns,2.rar和以前的conhosta.exe是同一个文件。因此以前分析的关于conhosta.exe的释放内容彻底适用于2.rar。
最后的max.rar具体信息不详,自己被vmp加壳保护,以下所示:
详细信息中说起多是易语言程序,通过一些资料收集和信息比对后发现,这应该是Mykings中的bootkit程序,用于感染mbr,以下所示:
执行后释放了01.dat和02.dat两个文件,并删除了该文件,以下所示:
在01.dat中发现了一些和反病毒程序相关的信息,以下所示:
经过google搜索js.1226bye.xyz:280,发现不少关于该域名信息,可是最有效的信息仍是关于MyKings挖矿,以下所示:
来看一看详细的对比状况,首先是max.exe的sha1的值,以下所示:
分析报告中的sha1的值,以下所示:
发现二者彻底一致,经过报告说起的另外一个SHA1 of 54df8f078ea7d43b25daea54e4f0a30da530289e
下载回来的max.exe的属性状况与报告中说起的一致,经过报告的描述,发现这个就是bootkit的安装程序了,包括释放的01.dat和02.dat,以下所示:
这些信息就是暗藏在01.dat中,经过寻找终因而发现了这两个网址的信息,以下所示:
同时还有一个TestMsg.tmp和TestMsg64.tmp,用于下载新的文件。因为这里分析的时候没有开启网络链接,因此并无下载到TestMsg.tmp和TestMsg64.tmp,下图的信息为Mykings中涉及的TestMsg.tmp和TestMsg64.tmp,以下所示:
接下来报告分析了c3.bat文件,有关于SQL的强制攻击状况,也符合给咱们讲述有SQL攻击的状况,以下所示:
经过报告的名称,加上以前在一个download.txt中发现的下载文件,尝试使用ok.exe和upsupx.exe竟然真的下回来了文件,以下所示:
有意思的是,下载的upsupx.exe竟然能够在本次攻击事件中,经过download.txt说起的ip下载回来,和以前分析的文件作对比,并比对sha1发现,upsupx.exe就是conhost.exe,是利用pcshare改版后的后门文件,从ok.exe的图标不难发现和以前的max.exe图标一致,且二者sha1值同样,说明这就是同一个文件,也就是用于bootkit的攻击程序。
报告最后说起了csrs的来源,不过惋惜的是,这不适合与此次分析的csrs,从这下载链接中能够发现,csrs不过是被下载回来的一个执行文件,所以还须要找到csrs的来源,才能搞清楚整个事件的前因后果,不过惋惜了,客户那边没有在提供其余的有效信息了,以下所示:
本次事件中并未发现相关EternalBlue spreader的传播模块,以下所示:
最后再来提一下以前没有说明的两个文件,其中1201.rar是xmrig的挖矿程序,修改文件后缀名,查看属性便可看出该文件的做用,而且修改后缀名后出现了xmrig的图标,所以这就是用来挖矿的程序了,以下所示:
20200510.rar更名为item.dat,一样加壳保护,行为分析时进程直接退出,具体功能暂时不详。(因此说啊,搞样本分析的,尼玛啥都得会点,这不又来个Armadillo的壳,前面还有个VMP的壳,以前是没精力搞下去了,如果以后有机会搞脱壳,还能再继续看看),以下所示:
到此,这次事件的溯源,基本上就到此为止了,更多的写出了我在整个溯源过程当中的思路,并一步一步记录了如何去经过相关信息关联到更多的有用信息,详细的Mykings分析报告可参考以下链接。
https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-mykings-report.pdf
威胁情报
经过微步在线的威胁情报平台,对整个事件中涉及到的威胁情报进行分析,此次事件涉及到一个ftp服务器,ip:185.26.112.217,相关信息以下所示:
hxxp://js.1226bye.xyz,最先涉及Mykings的域名信息,以下所示:
hxxp://ruisgood.ru,这次事件用于设置后门的域名,经关联发现一样是Myking,以下所示:
hxxp://wmi.1217bye.host,关联后发现一样是Myking,以下所示:
hxxp://js.ftp1202.site,没有任何标签,也没有对应的ip信息,可能为远控,以下所示:
hxxps://img.vim-cn.com,被标记为正常域名,可是被用于来设置后门,估计该网站可能被攻陷,以下所示:
hxxp://wmi.1103bye.xyz,一样被标记为远控,多是个远控的域名,以下所示:
本次应急响应事件涉及到的IP列表信息,以下所示:
173.208.139.170
173.208.153.130
172.83.155.170
144.208.127.215
103.106.250.161
103.106.250.162
192.236.160.237
173.247.239.186
199.168.100.74
167.88.180.175
223.25.247.152
处置清除
经过c3.bat也能够发现,整个Mykings的东西是比较混乱且命名不统一的,因此清除工做相对也只有采用手动清除的方式来完成。
1. 若是有cpu占用太高或者服务器卡顿的状况,查看进程信息,关闭可疑的高cpu占用进程lsma12.exe。
2. 使用autoruns,删除启动项start,删除计划任务 Mysa、Mysa一、Mysa二、Mysa三、ok等删除WMI fuckyoumm*等
3. 在如下目录中寻找是否存在get.exe g.exe 1201.rar 20200510.rar conhost.exe conhosta.exe item.dat max.exe ok.exe u.exe upsupx.exe winnts.exe lsma12.exe ,能够借助everything工具帮助寻找。
4.C:\Windows\system、C:/Windows/debug、 C:/Windows/Temp、C:\Windows\inf等目录,查看是否存在可疑文件。
5. 因为存在bootkit程序,可能须要对mbr进行重建和修复操做。相关工具能够参考以下连接。
http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip
安全防御
从反编译提取出来的py文件来看,这次攻击借助了ms17010,也就是永恒之蓝漏洞发起攻击。建议从如下几点去修复。
1.安装相关补丁文件,提升系统安全性。
2. 若是不能安装补丁,建议关闭没必要要的端口,尤为是13九、44五、1433,若是是云主机的话能够设置一下安全组规则。
3. 检查系统弱口令,删除主机的异常帐号。
4. 不要使用弱密码,好比SqlServer、rdp等经常使用服务,禁用SqlServer的sa帐号。
应急总结
经过一张图片,引起的事件溯源,看起来彷佛很简单,但其实其中包含了不少的信息,好比须要分析者有敏感的观察力,还要有基本的寻找相关信息的能力,例如搜索引擎的使用,再者就是要有一颗敢于追求源头的心,无意作事,再多的线索都没有任何的成效。正是由于有一颗找寻源头的心,才有了本文和以后的Denes后门后续挖掘的文章(该文章还在整理中,应该会在近期发布),感谢你们的阅读,有啥问题能够经过微信公众号(安全分析与研究)留言。
这是一次完整的应急响应过程,包含了应急响应过程当中的事件调查回溯,样本和数据的收集整理,威胁情报查询关联分析,样本详细分析,以及最后提供处置清除方案,安全防御方案等,通常的应急响应的流程大概就是这些了,通常安全厂商作完应急响应以后会给客户推荐一些本身的产品之类的
情报收集
经常有读者朋友经过微信或其余方式给我发送一些新的恶意软件或遇到的一些网络攻击案例,很是感谢这些朋友或公众号读者给我提供这些最新的攻击样本和威胁情报,同时也欢迎各位读者朋友,无论是你的企业,仍是你我的遇到了一些网络安全攻击事件,均可以经过微信或邮件给我提供各类相关的威胁情报,这些威胁情报包含:
样本
域名
IP地址
钓鱼邮件
钓鱼网站
以及其它一些相关的安全威胁情报信息,同时笔者为了让更多从事这方面的专业人员能够一块儿交流学习,相互讨论,共同进步,也为了培养更多这方面的专业人才,成立了一个"虚拟的"MR安全团队,有一个MR安全团队微信群,群里的成员能够随时交流讨论各类关于恶意软件的相关话题,专一于全球恶意软件家族的分析与研究,跟踪分析全球黑客组织攻击活动,MR安全团队的成员须要分享一些本身业余时间的一些安全技术分析报告或相关研究文章等,这样能够帮助更多想从事这个方向的新人,有兴趣的能够找我私聊,加入MR安全团队微信群,一块儿学习,共同进步,同时MR安全团队的成员,能够免费加入笔者的知识星球和专业群,与更多安全行业各个不一样方向的朋友进行交流,学习!
本文分享自微信公众号 - 安全分析与研究(MalwareAnalysis)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。