0x1 背景
近期,腾讯御见威胁情报中心捕获到一批Nitol木马样本。从进程链推测,黑客可能通过weblogic漏洞(7001端口)入侵,另外机器还开放了22、23等高危端口服务器并植入Nitol木马,然后控制服务器成为肉鸡,使其接受远程命令进行木马下载、DDoS攻击、CC攻击。
2012年在一项代号b70的行动中,微软发现,中国某些零售商在出售电脑时,会在Windows系统中安装携带Nitol木马的恶意软件。当时Nitol的许多C2都指向域名3322.org,为阻止了Nitol僵尸网络的蔓延,微软向法院申请接管3322.org域名,通过DNS重定向阻止了370万恶意软件向此网站的连接。
2017年11月腾讯安全反病毒实验室发现一个名叫快猴网(www.kuaihou.com)的下载站通过在一些游戏辅助工具包里置入lpk病毒, lpk.dll会备份自身到受害者计算机磁盘的各个文件夹下,以期进一步感知其他文件。同时lpk.dll会释放一个随机名的EXE病毒,这个EXE病毒会连接&接受C2服务器的指令并发起DDoS攻击,使中毒电脑沦为Nitol病毒的“肉鸡”。
此次发现的Nitol木马被黑客植入攻陷的服务器上,将获取的CPU信息、网卡信息上传到C2地址f4keu.7h4uk.com,并且通过从木马服务器d4uk.7h4uk.com批量下载更多木马,向肉鸡电脑分发门罗币挖矿木马牟利。
木马攻击流程
0x2 详细分析
2.1 传播方式
中招服务器存在开放weblogic的默认端口7001,部分也存在开放22、23端口。黑客通过端口扫描设定网段的开放端口,发现网络上带有weblogic漏洞的服务器,然后利用该漏向目标服务器注入payload,被攻击的服务器还包括某省公路路政系统。
Payload将使用base64加密的powershell代码写入VBS脚本javaupdato.vbs,然后通过cscript –B命令执行脚本。
Pwershell命令解密得到
hxxp://185.128.43.62:443/antivirus.ps1
antivirus.ps1进一步下载木马cohernece.exe并执行
2.2 样本分析
2.2.1 cohernece.exe分析
cohernece.exe脱壳后是Nitol家族木马,该木马由“鬼影DDoS”木马修改而来。木马将自身创建为RpcScs 服务,获取计算机CPU、网卡等信息并上传至C2地址,从服务器下载木马执行,然后等待控制端的指令执行DDoS攻击、CC攻击、以及下载其他木马。
木马文件(cohernece.exe)伪装卡巴斯基公司名“Kaspersky Lab ZAO”
创建自身进程名的互斥体
拷贝自身到c:\windows\Tasks\svchost.exe
创建服务并启动
循环创建多线程执行Nitol木马主体恶意代码
解密C2地址并连接
C2加密方法与其他Nitol木马家族一致,为base64+凯撒移位+异或
获取计算机CPU性能、网卡适配器信息
木马获取的目标计算机信息上传到C2地址
利用URLDowloadToFileA从d4uk.74uk.com下载其他模块执行,函数名与下载地址采用硬编码,躲避杀软检测
通过WinExec执行下载的exe文件
等待接收执行远程C2指令,命令协议与“鬼影DDoS”木马有一些相似,主要命令为DDoS攻击、CC攻击、下载样本
DDoS攻击代码
CC攻击代码
根据命令下载木马执行
2.2.2 main.exe分析
挖矿代码
矿池地址:xmr.crypto-pool.fr
钱包:
43JLaRc8G9QW9navTc9fQa549mWynLiCMKNXKfr9piU6b8uYR64eVVv3YxtkSYotQMS2CpGXwt9oaPHPUxLr6QsU2JRAG44
在该矿池查询到的钱包信息:
0x3 安全建议
服务器应关闭不必要的端口,避免使用弱口令。
对重要的服务器器进行隔离,不要暴露在外网环境。
开发java程序时阅读安全代码指南,避免可能出现的漏洞。
可参考《WebLogic CVE-2017-10271漏洞修复教程》修复WebLogic漏洞。
文章链接:https://www.gztxdl.com/a/xinwenzixun/xingyexinwen/20171225/147.html
普通网民可通过腾讯电脑管家拦截Nitol木马及该木马下载的其他有害程序。
0x4 IOCs:
IP:
107.148.195.71
185.128.43.58
185.128.43.62
185.128.40.102
域名:
d4uk.7h4uk.com
f4keu.7h4uk.com
url:
hxxp://d4uk.7h4uk.com/w_tools/testuac.exe
hxxp://d4uk.7h4uk.com/w_case/x.exe
hxxp://d4uk.7h4uk.com/w_downloads.exe
hxxp://d4uk.7h4uk.com/w_tools/exp/1603232.exe
hxxp://d4uk.7h4uk.com/w_tools/exp/1505132.exe
hxxp://d4uk.7h4uk.com/w_tools/exp/170213.exe
hxxp://d4uk.7h4uk.com/w_tools/exp.exe
hxxp://d4uk.7h4uk.com/w_case/tor.exe
hxxp://d4uk.7h4uk.com/w_download.exe
hxxp://d4uk.7h4uk.com/w_case/login.php
hxxp://d4uk.7h4uk.com/testuac.exe
hxxp://d4uk.7h4uk.com/w_res.exe
hxxp://d4uk.7h4uk.com/just4free64.exe
hxxp://d4uk.7h4uk.com/just4free32.exe
hxxp://d4uk.7h4uk.com/w_tools/register.jpg
hxxp://d4uk.7h4uk.com/w_tools/x.json
hxxp://d4uk.7h4uk.com/w_tools/exp/1505164.exe
hxxp://d4uk.7h4uk.com/w_tools/yesir.txt
hxxp://d4uk.7h4uk.com/w_tools/register.jpg
hxxp://d4uk.7h4uk.com/w_case/tor.exe
hxxp://d4uk.7h4uk.com/exp.exe
hxxp://d4uk.7h4uk.com/w_tools/exp.exe
hxxp://d4uk.7h4uk.com/w_tools/testuac.exe
hxxp://d4uk.7h4uk.com/w_tools/just4free64.exe
hxxp://d4uk.7h4uk.com/w_tools/config.json
hxxp://d4uk.7h4uk.com/w_tools/just4free64.exe
hxxp://d4uk.7h4uk.com/w_tools/x1.txt
hxxp://d4uk.7h4uk.com/w_tools/just4free32.exe
hxxp://d4uk.7h4uk.com/w_tools/login.jpg
hxxp://d4uk.7h4uk.com/tor.exe
hxxp://d4uk.7h4uk.com/w_tools/exp/1603264.exe
hxxp://d4uk.7h4uk.com/w_tools/login.jpg
hxxp://d4uk.7h4uk.com/w_tools/yesir.txt
hxxp://d4uk.7h4uk.com/W_DOWNLOADS.EXE
hxxp://d4uk.7h4uk.com/w_tools/config.json
hxxp://d4uk.7h4uk.com/w_case/main.exe
hxxp://d4uk.7h4uk.com/w_tools/exp
hxxp://d4uk.7h4uk.com/w_case/main.exe
md5:
4fe2de6fbb278e56c23e90432f21f6c8
4553174f8e006abc1f914bf0aa4da4b2
d0e8be7390faf166983cb9721d5d1569
806b239dfc527130e507a2dfb73ae3f0
682d19c2ea1cee2dfcf6e130d9480768
85956d7b3126d1793b2e40b07906ee1a
a02c599a536c91367b6d767b75d6177d
8e4f898687c98ede7436c196531dc2ea
1a33d4d37c9961f0ba6f69fe8a1452c1
82d25c5fe15a973a4edef25cabad329d