导语:近日,卡巴斯基实验室通过监测,发现一个全新的物联网木马正在通过Windows设备传播。
近日,卡巴斯基实验室通过监测,发现一个全新的物联网木马正在通过Windows设备传播。最早卡巴斯基实验室的安全研究人员观察到这个推送Mirai下载器的扩展器变体是在2017年1月,但其实这个Windows木马以前就有了,只不过通过Windows进行传播的途径也非常有限。不过,如果Mirai木马强制性的远程实施Telnet命令连接,就会从Windows主机传播到Linux主机,尽管这个传播方法目前还没有经过证实,但有一点可以确认就是通过Windows平台,可以对以前不可传播的僵尸攻击资源进行快平台传播。特别是对于Windows上运行的易受攻击的SQL服务器来说,因为它们既连接互联网,又可以访问连接基于IP的摄像机,DVR,媒体软件和其他内部设备的专用网络。
所以卡巴斯基实验室的安全研究人员正是通过SQL服务器观察到一个以前就非常活跃的Mirai木马家族,现在正通过非常有限的传播途径来将木马嵌入到Linux系统。这个Mirai木马家族使用了多个Web资源和服务器,分阶段传播自己的木马代码并添加新的Mirai木马。不过这些服务器准确记录了Mirai木马的具体传播时间表。
无论如何,Mirai木马在Linux平台和Windows平台之间进行交叉传播的出现,让安全研究人员已经高度紧张起来了。就像Zeus银行木马的源代码被公开之后,很快各种系统都被其各种变异体所攻击,而Mirai源代码在去年10月份被公开之后,其各种变异版本也会像Zeus银行木马那样在未来几年给互联网基础设施带来沉重的灾难,而在Linux平台和Windows平台之间的交叉传播则仅仅是个开始。
不过,值得注意的是,2016年Mirai的肆虐却有着其是独一无二的理由,归纳起来,有两个原因:
1.大规模物联网设备(主要是DVR,闭路电视摄像机和家庭路由器)的广泛使用, 2. 史上最大流量的DDOS攻击出现。
新出现的Windows Spreader 代码的威力有多大?
Windows Spreader ——这个Windows 木马代码比Mirai代码库更丰富,更强大,具有大量的扩展技术,包括通过telnet,SSH,WMI,SQL注入和IPC的暴力入侵。被这个木马代码利用的设备包括:
1.基于IP的摄像机 2.DVR 3.各种媒体设备 4.各种类似于Raspberry and Banana Pi的平台
通过分析,Windows Spreader 代码显然是一个经过精心设计的木马,它包含有多个欺骗性的字符串,而且这个代码已经在Windows中文系统上进行了编译,这些木马的主机服务器在台湾被发现,滥用来自中国公司的被盗代码签名证书以及相关其他功能。
通过增加汉语的代码,可以访问被盗的代码签名证书,能够从多个攻击项目中分离出win32攻击代码,对全世界的MSSQL服务器造成威胁,并且能够将代码移植到一个有效的跨平台攻击中,比如Linux平台。
下面是对其中一个代码签名证书的IP地理位置(fb7b79e9337565965303c159f399f41b)的分析,它经常被易受攻击的MSSQL和MySQL服务器下载。MSSQL和MySQL服务器是由两个网站主机之一提供,两个主机都位于台湾:
http://down.mykings[.]pw:8888/ups.rar http://up.mykings[.]pw:8888/ups.rar
下载时,将其复制到具有多个文件名之一的磁盘执行:
cab.exe, ms.exe, cftmon.exe
显然,对技术解决方案投入大量投资的新兴市场受到这一因素的影响最大。
新的Mirai木马的组成
新的Mirai木马代码和各种攻击组件已经从其他攻击事件和以前的木马来源中获得。在运行时,代码的传播会经过一系列阶段,从扫描和攻击在线资源到下载附加配置文件,获取进一步的指令,以及下载和运行额外的可执行代码。同样,大多数所有这些组件,技术和功能都是几年前所用过的。
Windows Spreader的感染过程,即c:\ windows \ system \ msinfo.exe(5707f1e71da33a1ab9fe2796dbe3fc74)将DNS设置更改为114.114.114.114,8.8.8.8。
下载并执行
from hxxp://up.mykings [。] pw:8888 / update.txt(02b0021e6cd5f82b8340ad37edc742a0) hxxp://up.mykings [。] pw:8888 / ver.txt(bf3b211fa17a0eb4ca5dcdee4e0d1256)
木马下载
hxxp://img1.timeface [。] cn / times / b27590a4b89d31dc0210c3158b82c175.jpg(b27590a4b89d31dc0210c3158b82c175)到c:\ windows \ system \ msinfo.exe(5707f1e71da33a1ab9fe2796dbe3fc74)
使用命令行参数“-create”“-run”
下载并执行hxxp://down.mykings [。] pw:8888 / my1.html(64f0f4b45626e855b92a4764de62411b)
此文件是一个命令shell脚本,它注册各种文件,包括数据库连接库,并清除系统上不需要的自身跟踪。
http://up.mykings [。] pw:8888 / ups.rar(10164584800228de0003a37be3a61c4d)
它将自身复制到任务目录,并将其自身安装为预定执行。
c:\ windows \ system \ my1.bat c:\ windows \ tasks \ my1.job c:\ windows \ system \ upslist.txt c:\ windows \ system32 \ cmd.exe / c sc start xWinWpdSrv&ping 127.0.0.1 -n 6 && del c:\ windows \ system \ msinfo.exe >> NUL c:\ program files \ kugou2010 \ ms.exe(10164584800228de0003a37be3a61c4d)
接下来对木马的流量进行嗅探,研究人员发现木马会将用户的所有浏览信息——包括用户的键盘记录信息,浏览的图像,浏览器中存储的密码。下面嗅探到的一位用户在2016年10月30号浏览图像的信息,并嵌入木马代码ad0496f544762a95af11f9314e434e94。
模块化的木马代码
这个Mirai木马变种的SQL注入和暴力入侵技术都是从一个叫做“Cracker”库编译而来的。这个库允许为各种攻击的提供了模块化的任务。根据从可用c2下载的加密文件来指示木马的各个任务。
[Cracker:MS] [Cracker:MS] [Cracker:RDP] [Cracker:SSH]
Windows 木马的源代码似乎是在C ++中以相当模块化的方式开发的,因为该功能在源代码库中被分解为:
CheckUpdate.cpp Cracker_Inline.cpp Cracker_Standalone.cpp cService.cpp CThreadPool.cpp Db_Mysql.cpp Dispatcher.cpp IpFetcher.cpp libtelnet.cpp Logger_Stdout.cpp Scanner_Tcp_Connect.cpp Scanner_Tcp_Raw.cpp ServerAgent.cpp Task_Crack_Ipc.cpp Task_Crack_Mssql.cpp Task_Crack_Mysql.cpp Task_Crack_Rdp.cpp Task_Crack_Ssh.cpp Task_Crack_Telnet.cpp Task_Crack_Wmi.cpp Task_Scan.cpp WPD.cpp catdbsvc.cpp catadnew.cpp catdbcli.cpp waitsvc.cpp errlog.cpp
代码签名证书
代码签名证书似乎是从中国的制造商哪里盗取的,不过已经过了有效期。
文件对象的扫描
Trojan.Win32.SelfDel.ehlq Trojan.Win32.Agent.ikad Trojan.Win32.Agentb.btlt Trojan.Win32.Agentb.budb Trojan.Win32.Zapchast.ajbs Trojan.BAT.Starter.hj Trojan-PSW.Win32.Agent.lsmj Trojan-Downloader.Win32.Agent.hesn Trojan-Downloader.Win32.Agent.silgjn HEUR:Trojan-Downloader.Linux.Gafgyt.b Backdoor.Win32.Agent.dpeu DangerousPattern.Multi.Generic (UDS)
文件对象的分析
c2和url
http://dwon.f321y[.]com:280/mysql.exe https://down2.b5w91[.]com:8443 http://down.f4321y[.]com:8888/kill.html http://down.f4321y[.]com:8888/test.html http://down.f4321y[.]com:8888/ups.rar http://67.229.225.20 http://down.f4321y[.]com http://up.f4321y[.]com http://up.f4321y[.]com:8888/ver.txt http://up.f4321y[.]com:8888/ups.rar http://up.f4321y[.]com:8888/update.txt http://up.f4321y[.]com:8888/wpdmd5.txt http://up.f4321y[.]com:8888/wpd.dat http://down.F4321Y[.]com:8888/my1.html http://up.mykings[.]pw:8888/ver.txt http://up.mykings[.]pw:8888/ups.rar http://up.mykings[.]pw:8888/update.txt http://up.mykings[.]pw:8888/wpdmd5.txt http://up.mykings[.]pw:8888/wpd.dat http://down.mykings[.]pw:8888/my1.html http://down.mykings[.]pw:8888/ups.rar http://down.mykings[.]pw:8888/item.dat http://js.f4321y[.]com:280/v.sct http://down.b591[.]com:8888/ups.exe http://down.b591[.]com:8888/ups.rar http://down2.b591[.]com:8888/ups.rar http://down2.b591[.]com:8888/wpd.dat http://down2.b591[.]com:8888/wpdmd5.txt http://down2.b591[.]com:8888/ver.txt http://up.f4321y[.]com:8888/ups.rar http://down.b591[.]com:8888/test.html http://dwon.kill1234[.]com:280/cao.exe http://down.b591[.]com:8888/ups.rar http://down.b591[.]com:8888/ups.exe http://down.b591[.]com:8888/cab.rar http://down.b591[.]com:8888/cacls.rar http://down.b591[.]com:8888/kill.html
签名证书
Xi’ an JingTech electronic Technology Co.,LTD sn: 65 f9 b9 66 60 ad 34 c1 c1 fe f2 97 26 6a 1b 36 Partner Tech(Shanghai)Co.,Ltd sn: 26 59 63 33 50 73 23 10 40 17 81 35 53 05 97 60 39 76 89
Md5
e7761db0f63bc09cf5e4193fd6926c5e c88ece9a379f4a714afaf5b8615fc66c 91a12a4cf437589ba70b1687f5acad19 a3c09c2c3216a3a24dce18fd60a5ffc2 297d1980ce171ddaeb7002bc020fe6b6 5707f1e71da33a1ab9fe2796dbe3fc74 a4c7eb57bb7192a226ac0fb6a80f2164 64f0f4b45626e855b92a4764de62411b 02b0021e6cd5f82b8340ad37edc742a0 10164584800228de0003a37be3a61c4d fd7f188b853d5eef3760228159698fd8 cbe2648663ff1d548e036cbe4351be39 fb7b79e9337565965303c159f399f41b eb814d4e8473e75dcbb4b6c5ab1fa95b 04eb90800dff297e74ba7b81630eb5f7 508f53df8840f40296434dfb36087a17 93ccd8225c8695cade5535726b0dd0b6 62270a12707a4dcf1865ba766aeda9bc 43e7580e15152b67112d3dad71c247ec 0779a417e2bc6bfac28f4fb79293ec34 ac8d3581841b8c924a76e7e0d5fced8d cf1ba0472eed104bdf03a1712b3b8e3d 4eee4cd06367b9eac405870ea2fd2094 21d291a8027e6de5095f033d594685d0 097d32a1dc4f8ca19a255c401c5ab2b6 5950dfc2f350587a7e88fa012b3f8d92 2d411f5f92984a95d4c93c5873d9ae00 9a83639881c1a707d8bbd70f871004a0 5cae130b4ee424ba9d9fa62cf1218679 2346135f2794de4734b9d9a27dc850e1 fe7d9bdbf6f314b471f89f17b35bfbcd c289c15d0f7e694382a7e0a2dc8bdfd8 9098e520c4c1255299a2512e5e1135ba db2a34ac873177b297208719fad97ffa defff110df48eb72c16ce88ffb3b2207 c289c15d0f7e694382a7e0a2dc8bdfd8 c75bd297b87d71c8c73e6e27348c67d5 5af3bab901735575d5d0958921174b17 1a6fea56dc4ee1c445054e6bc208ce4f ae173e8562f6babacb8e09d0d6c29276 ad0496f544762a95af11f9314e434e94
Contents of http://down.mykings[.]pw:8888/my1.html
Contents of http://up.mykings[.]pw:8888/update.txt