用户
搜索
  • TA的每日心情
    慵懒
    4 天前
  • 签到天数: 254 天

    连续签到: 1 天

    [LV.8]以坛为家I

    版主

    Rank: 7Rank: 7Rank: 7

    30

    主题

    120

    帖子

    4884

    魔法币
    收听
    2
    粉丝
    3
    注册时间
    2015-11-20

    i春秋签约作者春秋文阁

    发表于 2018-11-2 21:49:50 25200


    这次分析的样本是我去某公司面试时,他们给的一堆样本,让我分析一下,分析报告给他们了,回音却没了。。。
    该系列是Iron Group组织使用的XBash恶意软件,XBash攻击的对象涵盖了Windows和Linux两大系统,当前主要通过传播挖矿病毒盈利。

    1. 介绍

    本次分析的样本共10个,涉及PE、ELF、sh、html、xml等多个文件类型。通过对这些文件的分析,我们可以还原出该组织的攻击过程:
    图片1.png

    2. 详细分析

    2.1.恶意链接

    攻击的开始,攻击者诱导受害者访问挂马网页,此网页中存在一段JScript脚本:
    图片2.png
    这段脚本将从"http://daknobcq4zal6vbm.tk/tg.jpg" 中下载文件,另存为%tmp%/explorer.exe,并启动%tmp%/explorer.exe。%tmp%/explorer.exe就是前文提到的payload程序。

    2.2.payload

    payload程序的图标很有意思,是“No icon Available”。payload程序使用了数字签名,但是签名信息不受信任:
    图片3.png
    分析其编译器,发现是一个UPX加壳的程序:
    图片4.png
    对其进行脱壳后进一步分析,发现其还使用了如下的反调试技术:
    ①使用一些API进行反调试
    图片5.png
    ②混淆调用的API的名称
    图片6.png
    payload程序运行后,将在C:\Users\test\AppData\Local\目录下释放文件chrome.crx,chrome.crx是一个压缩文件,解压后包含如下文件:
    图片7.png
    在C:\Users\Administrator\AppData\Local\目录下释放*.dat文件(文件名随机),这个dat文件就是dll文件。
    最后,payload利用命令执行前面释放的文件:
    图片8.png

    2.3.vbe文件

    vbe脚本由计划任务启动,每分钟运行一次,任务命令如下:
    "schtasks /create /sc minute /mo 1 /tn "chrome" /tr C:\Users***\chrome\sec.vbe"
    vbe脚本是加密后vbs脚本:
    图片9.png
    对其进行解密:
    图片10.png
    这段脚本,首先会搜索chrome进程,如果存在,则会杀死chrome进程,随后执行下列命令,静默启动chrome进程加载chrome文件夹:
    图片11.png

    2.4.dll

    该文件是payload释放的dat文件,利用rundll32启动,启动命令:
    cmd /c rundll32 "C:\Users\Administrator\AppData\Local\egT66B6U.dat",DllUnInstall C:*\payload.exe C:\Users\Administrator\AppData\Local*.dat
    此文件同样有数字签名,签名不受信任:
    图片12.png

    分析其编译器发现同样是UPX的壳:
    图片13.png
    脱掉UPX壳之后发现还有壳,是VMP的壳:
    图片14.png
    这个dll和下文要介绍的XBashY功能相同,不同的是这个dll是exe64程序,XBashY是ELF64程序。关于这个XBash核心的详细功能将在XBashY章节中介绍。
    这个dll将扫描内网其他主机开放端口和服务:
    图片15.png
    图片16.png

    对于Windows服务器,将会下载执行挖矿流程,设置自启动的PowerShell脚本;
    对于Linux服务器则会尝试进行漏洞攻击,包括Hadoop YARN ResourceManager未经身份验证的命令执行漏洞、ActiveMQ任意文件写入漏洞、Redis任意文件写入和远程命令执行等漏洞,修改crontab文件,上传并执行shell脚本。

    2.5.Powershell

    病毒入侵Windows服务器后,会下载并执行一段PowerShell:l
    图片17.png
    第一次解密:
    图片18.png
    再次解密:
    图片19.png
    最终结果:
    图片20.png
    这段powershell将会下载“http://png.realtimenews.tk/m.png” 文件,并利用rundll32.exe运行此文件,实际上m.png就是挖矿程序。

    2.6.windows挖矿程序

    挖矿程序是一个VMP加壳的dll文件,由rundll32.exe启动,
    图片21.png
    挖矿信息:
    图片22.png
    图片23.png

    2.7.shell

    病毒入侵Linux服务器后,会创建计划任务,下载并运行shell脚本。
    这段shell脚本,首先会终止其他程序的挖矿进程:
    图片24.png
    随后将会下载挖矿程序好XBashY程序并运行:
    图片25.png
    图片33.png

    2.8.linux挖矿程序

    挖矿信息
    图片26.png

    2.9.XBashY

    XBashY是ELF64文件。
    XBashY运行后首先会在自己文件名后添加pkg后缀:
    图片27.png
    字符串”_MEIPASS2”是pyinstaller使用的库,可以猜测改程序使用python编写打包;
    而pkg类型是安装文件类型,提取文件,进一步确定该程序是使用python编写的:
    图片28.png
    图片29.png

    直接提取python源码:
    图片30.png
    接下来的内容就和《Xbash勒索挖矿样本分析》的完全相同了:
    ①web服务弱口令攻击
    图片31.png
    ②数据库弱口令攻击
    图片32.png

    (还有一堆其他的东西,python源码都有了,想怎么分析都行,就不详细分析了。。。。)

    IOCs:
    MD5:
    3b5baecd61190e12a526c51d5ecccbbe
    3a3ae909caee915af927c29a6025d16c
    9d080aa27da74e146a45b56c86476f20
    1de7ceb3434243aa94296393165f89e7
    1ef7d145bf7153292ea33fe7c900ece9
    56303f9c9b3ec89f4a883a4d7b079f65
    f8c7e23c71478aa99dc3627da989b2ca
    55142f1d393c5ba7405239f232a6c059
    2d39b1792b263eba084e10c54e053d84
    7b5008d312465307905d96b4b8366326
    样本下载:
    链接:https://pan.baidu.com/s/1Yy1vzgAtTGfdXPzFl7clYQ ;提取码:dzx1 ;压缩包密码:topsec

    参考资料:
    https://researchcenter.paloaltonetworks.com/2018/09/unit42-xbash-combines-botnet-ransomware-coinmining-worm-targets-linux-windows/?es_p=7601324
    http://www.freebuf.com/articles/terminal/185106.html

    支持表哥文章
    使用道具 举报 回复
    看看,学学
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册