一张图片引发一次完整的应急响应

安全分析与研究

专注于全球恶意软件的分析与研究

事件调查

2020年6月29日-数据的收集和整理

由客户提供的一张带有某域名的图片开始了我本次的分享内容,原始图片如下所示:

经访问发现js.1226bye.xyz:280/v.sct居然还是存活状态,通过js.1226bye.xyz:280/v.sct拿回来一些信息,如下所示:

其中ups.dat是通过js.1226bye.xyz:280得v.sct脚本内容获取,如下所示:

紧接着ups.dat 自启动的压缩文件,用于释放内部文件,文件内容如下所示:

同样的upx.exe也是采用了同样的方法存储了内部的文件,文件内容如下所示:

n.vbs内容相对简单,就是启动位于%temp%目录下的c3.bat,如下所示:

c3.bat就有所不同了,是一个内容非常复杂的处理脚本,从内容上看像一个清理脚本,如下所示:

同时有创建计划任务,名为Mysa和Mysa2等,如下所示:

清理相关计划任务的操作,如下所示:

通过设置自启动来启动后门,下载位于http://js.mys2016.info:280/v1.sct的脚本内容,如下所示:

除此之外还使用wmic下载http://ruisgood.ru域名下的相关文件,如下所示:

通过这一部分内容信息关联到一些其他的下载信息,如下所示:

最后的excludes,查看内容后发现应该是一个挖矿的配置信息,内容如下所示:

此次以上的信息,都是通过一张图片得来,果然搜索引擎的强大不是人脑力所能够比拟的,同时也需要做应急的人员拥有足够敏锐的观察力,要是我以前估计啥都没有。好歹也出来混了一段时间,还是要有点观察力的。(啊哈哈哈,感觉自己逐渐的开始流批了,低调,我要低调。咳咳咳)

到这里基本上就是客户第一天为我提供的全部信息。(tmd,就一张图,而且把客户由于不知道中了啥玩意,被通告修改,不给上外网,居然想着用手机开热点,最后卡成PPT。)

2020年6月30日-日志分析与信息整理

心想着要是今天不给信息,我就搞Denes的后续提取分析了,没想到刚开工一会,就送来一些可能相关的样本,没办法了,样本都送过来了还是瞅瞅吧。

首先有个info和Temp目录,还有一个system目录,一个一个慢慢看。

Info目录下有个msief.exe,和之前发现的ups.dat一样是一个自启动的压缩文件,不过相比之前的c3.bat,这个版本的c3.bat不太那么一样。

这些涉及到的域名不是失效就是文件或目录不存在,如下所示:

紧接着继续看Temp目录下的文件情况,如下所示:

conhosta.exe也是用于释放c3a.bat的,同样的还是看看bat的内容。内容上大同小异,还是有些地方不太一样,如下所示:

将特殊域名本地化,将内容写入到C:\Windows\System32\drivers\etc\hosts文件中,进行本地解析,如下所示:

终于通过c3a.bat里面的power.txt找到一个可用的download.txt,并最终下回来了所有在download中列出来的文件,如下所示:

其中的u.exe 主要功能用于设置DNS,设置的值为223.5.5.5和8.8.8.8,如下所示:

conhost.exe 通过查询到的资料表明,该程序可能是利用了pcshare的源码修改后的程序,主要功能是循环请求C2服务执行更新自身、执行命令、下载“挖矿”软件等。如果第一次运行,会释放一个xpdown.dat文件,位于C:\Program Files\Common Files目录下。

xpdown.dat的内容是一组ip和域名的集合,如下所示:

剩下的几个文件在后面的分析中会提及,这里先不做说明。

最后看下system目录下的文件,开始的时候只有csrs.exe一个程序,经过多方面的处理之后提取出相关的资料,如下所示:

csrs.exe,运行后发现有很多跟python相关的文件,怀疑是python打包的exe。使用工具提取一看,还真是python的。(这里做一个额外的说明,大多数python打包的文件,在执行的时候都会释放一些python相关的文件,可以作为是否是python打包的一个点),如下所示:

通过相关资料和技术手段,修复pyc头部,并最终反编译得到了原始的py文件,是一个明显利用了ms17010的后门程序,如下所示:

通过

https://img.vim-cn.com/ef/5ab12fdf434f480022a89524ef1f6f97f92786.xml的内容继续寻找,还是找到了一些相关联的东西,如下所示:

其中ups.rar为之前提及的u.exe,主要用于设置dns,2.rar和之前的conhosta.exe是同一个文件。所以之前分析的关于conhosta.exe的释放内容完全适用于2.rar。

最后的max.rar具体信息不详,本身被vmp加壳保护,如下所示:

详细信息中提及可能是易语言程序,经过一些资料收集和信息比对后发现,这应该是Mykings中的bootkit程序,用于感染mbr,如下所示:

执行后释放了01.dat和02.dat两个文件,并删除了该文件,如下所示:

在01.dat中发现了一些和反病毒程序相关的信息,如下所示:

通过google搜索js.1226bye.xyz:280,发现很多关于该域名信息,但是最有效的信息还是关于MyKings挖矿,如下所示:

来看一看详细的对比情况,首先是max.exe的sha1的值,如下所示:

分析报告中的sha1的值,如下所示:

发现两者完全一致,通过报告提及的另一个SHA1 of 54df8f078ea7d43b25daea54e4f0a30da530289e

下载回来的max.exe的属性情况与报告中提及的一致,通过报告的描述,发现这个就是bootkit的安装程序了,包括释放的01.dat和02.dat,如下所示:

这些信息就是暗藏在01.dat中,通过寻找终于是发现了这两个网址的信息,如下所示:

同时还有一个TestMsg.tmp和TestMsg64.tmp,用于下载新的文件。由于这里分析的时候没有开启网络连接,所以并没有下载到TestMsg.tmp和TestMsg64.tmp,下图的信息为Mykings中涉及的TestMsg.tmp和TestMsg64.tmp,如下所示:

接下来报告分析了c3.bat文件,有关于SQL的强制攻击情况,也符合给我们讲述有SQL攻击的情况,如下所示:

通过报告的名称,加上之前在一个download.txt中发现的下载文件,尝试使用ok.exe和upsupx.exe居然真的下回来了文件,如下所示:

有意思的是,下载的upsupx.exe居然可以在本次攻击事件中,通过download.txt提及的ip下载回来,和之前分析的文件做对比,并比对sha1发现,upsupx.exe就是conhost.exe,是利用pcshare改版后的后门文件,从ok.exe的图标不难发现和之前的max.exe图标一致,且两者sha1值一样,说明这就是同一个文件,也就是用于bootkit的攻击程序。

报告最后提及了csrs的来源,不过可惜的是,这不适合与这次分析的csrs,从这下载连接中可以发现,csrs不过是被下载回来的一个执行文件,因此还需要找到csrs的来源,才能搞清楚整个事件的来龙去脉,不过可惜了,客户那边没有在提供其他的有效信息了,如下所示:

本次事件中并未发现相关EternalBlue spreader的传播模块,如下所示:

最后再来提一下之前没有说明的两个文件,其中1201.rar是xmrig的挖矿程序,修改文件后缀名,查看属性即可看出该文件的作用,并且修改后缀名后出现了xmrig的图标,因此这就是用来挖矿的程序了,如下所示:

20200510.rar改名为item.dat,同样加壳保护,行为分析时进程直接退出,具体功能暂时不详。(所以说啊,搞样本分析的,尼玛啥都得会点,这不又来个Armadillo的壳,前面还有个VMP的壳,之前是没精力搞下去了,若是之后有机会搞脱壳,还能再继续看看),如下所示:

到此,此次事件的溯源,基本上就到此为止了,更多的写出了我在整个溯源过程中的思路,并一步一步记录了如何去通过相关信息关联到更多的有用信息,详细的Mykings分析报告可参考如下连接。

https://www.sophos.com/en-us/medialibrary/PDFs/technical-papers/sophoslabs-uncut-mykings-report.pdf

威胁情报

通过微步在线的威胁情报平台,对整个事件中涉及到的威胁情报进行分析,这次事件涉及到一个ftp服务器,ip:185.26.112.217,相关信息如下所示:

hxxp://js.1226bye.xyz,最早涉及Mykings的域名信息,如下所示:

hxxp://ruisgood.ru,此次事件用于设置后门的域名,经关联发现同样是Myking,如下所示:

hxxp://wmi.1217bye.host,关联后发现同样是Myking,如下所示:

hxxp://js.ftp1202.site,没有任何标签,也没有对应的ip信息,可能为远控,如下所示:

hxxps://img.vim-cn.com,被标记为正常域名,但是被用于来设置后门,估计该网站可能被攻陷,如下所示:

hxxp://wmi.1103bye.xyz,同样被标记为远控,可能是个远控的域名,如下所示:

本次应急响应事件涉及到的IP列表信息,如下所示:

173.208.139.170

173.208.153.130

172.83.155.170

144.208.127.215

103.106.250.161

103.106.250.162

192.236.160.237

173.247.239.186

199.168.100.74

167.88.180.175

223.25.247.152

处置清除

通过c3.bat也可以发现,整个Mykings的东西是比较混乱且命名不统一的,所以清除工作相对也只有采用手动清除的方式来完成。

1. 如果有cpu占用过高或者服务器卡顿的情况,查看进程信息,关闭可疑的高cpu占用进程lsma12.exe。

2. 使用autoruns,删除启动项start,删除计划任务 Mysa、Mysa1、Mysa2、Mysa3、ok等删除WMI fuckyoumm*等

3. 在以下目录中寻找是否存在get.exe g.exe 1201.rar 20200510.rar conhost.exe conhosta.exe item.dat max.exe ok.exe u.exe upsupx.exe winnts.exe lsma12.exe ,可以借助everything工具帮助寻找。

4.C:\Windows\system、C:/Windows/debug、 C:/Windows/Temp、C:\Windows\inf等目录,查看是否存在可疑文件。

5. 由于存在bootkit程序,可能需要对mbr进行重建和修复操作。相关工具可以参考如下链接。

http://dlied6.qq.com/invc/xfspeed/qqpcmgr/other/SystemAidBoxPro.zip

安全防护

从反编译提取出来的py文件来看,此次攻击借助了ms17010,也就是永恒之蓝漏洞发起攻击。建议从以下几点去修复。

1.安装相关补丁文件,提高系统安全性。

2. 如果不能安装补丁,建议关闭不必要的端口,尤其是139、445、1433,如果是云主机的话可以设置一下安全组规则。

3. 检查系统弱口令,删除主机的异常账号。

4. 不要使用弱密码,比如SqlServer、rdp等常用服务,禁用SqlServer的sa账号。

应急总结

通过一张图片,引发的事件溯源,看起来似乎很简单,但其实其中包含了很多的信息,比如需要分析者有敏感的观察力,还要有基本的寻找相关信息的能力,例如搜索引擎的使用,再者就是要有一颗勇于追求源头的心,无心做事,再多的线索都没有任何的成效。正是因为有一颗找寻源头的心,才有了本文和之后的Denes后门后续挖掘的文章(该文章还在整理中,应该会在近期发布),感谢大家的阅读,有啥问题可以通过微信公众号(安全分析与研究)留言。

这是一次完整的应急响应过程,包含了应急响应过程中的事件调查回溯,样本和数据的收集整理,威胁情报查询关联分析,样本详细分析,以及最后提供处置清除方案,安全防护方案等,一般的应急响应的流程大概就是这些了,一般安全厂商做完应急响应之后会给客户推荐一些自己的产品之类的

情报收集

常常有读者朋友通过微信或其他方式给我发送一些新的恶意软件或遇到的一些网络攻击案例,非常感谢这些朋友或公众号读者给我提供这些最新的攻击样本和威胁情报,同时也欢迎各位读者朋友,不管是你的企业,还是你个人遇到了一些网络安全攻击事件,都可以通过微信或邮件给我提供各种相关的威胁情报,这些威胁情报包含:

样本

域名

IP地址

钓鱼邮件

钓鱼网站

以及其它一些相关的安全威胁情报信息,同时笔者为了让更多从事这方面的专业人员可以一起交流学习,相互讨论,共同进步,也为了培养更多这方面的专业人才,成立了一个"虚拟的"MR安全团队,有一个MR安全团队微信群,群里的成员可以随时交流讨论各种关于恶意软件的相关话题,专注于全球恶意软件家族的分析与研究,跟踪分析全球黑客组织攻击活动,MR安全团队的成员需要分享一些自己业余时间的一些安全技术分析报告或相关研究文章等,这样可以帮助更多想从事这个方向的新人,有兴趣的可以找我私聊,加入MR安全团队微信群,一起学习,共同进步,同时MR安全团队的成员,可以免费加入笔者的知识星球和专业群,与更多安全行业各个不同方向的朋友进行交流,学习!

我来评几句
登录后评论

已发表评论数()

相关站点

热门文章