freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

    警惕H-Worm蠕虫病毒伪装电影样片钓鱼,草率点击附件会被完全控制
    2019-06-21 14:37:00
    所属地 广东省

    一、背景

    腾讯安全御见威胁情报中心发现附带H-Worm蠕虫病毒变种的钓鱼邮件攻击。攻击者参考VBS蠕虫病毒H-Worm代码制作JS版本变种,并将其打包为压缩文件,之后伪装成某电影特效制作公司向攻击目标邮箱投递包含病毒附件的邮件。目标用户不慎打开附件中的压缩文件,H-Worm蠕虫变种会立即执行,病毒会连接远程服务器接收指令对中毒电脑进行远程控制。 

    H-Worm蠕虫病毒还会通过在U盘、移动硬盘等可移动存储设备上创建大量指向病毒的Lnk文件,从而通过移动存储设备在目标网络中横向传播扩散。

    1.png

    钓鱼邮件传播H-Worm蠕虫变种流程 

    腾讯御点及腾讯电脑管家均可查杀该病毒,腾讯安全专家建议用户谨慎处理不明邮件的附件。

    2.png

    二、详细分析

    攻击者伪造了来自日本某公司的发件邮件信息

    3.png

     

    邮件中提示参阅附件VPO0918001.zip,并提到付款相关信息。同时还说明了需要提供电影样本、制造以及定制设计等内容。

    4.png

     

    当我们尝试打开邮件伪造的发件邮箱地址时,发现该地址的确是一家从事电影及音乐短片制作的日本公司。这表明出黑客在攻击前,特意搜集了发邮件时需要用到的伪造公司的信息,进而在攻击过程中构造与该公司相关的邮件内容,以此来迷惑被攻击对象,诱惑其打开邮件附件。

    5.jpg

     

    邮件附件文件VPO0918001.zip,该文件解压后释放VPO0918001.js,后续分析可知VPO0918001.js是完全由JS脚本实现的远控木马。

    6.jpg

     

    VPO0918001.js经过混淆和base64编码,执行前需要解混淆。首先通过正则匹配将代码中的“%@>”替换为“A”,然后将替换后的代码通过base64解码,得到最终要执行的代码

    7.png

     

    解密后的代码分成两个部分,一部分为释放子木马lkdsUaKrEM.js到%appdata%目录下并启动执行,另一部分为JS远控代码主体。释放的子木马lkdsUaKrEM.js与母体木马代码逻辑比较相似。

    8.png

    VPO0918001.js

    远控代码开头,初始化信息,包括上线地址、端口等

    host 上线地址 bedahogs.100chickens.me
    port 上线端口 4441
    startup 全局启动项目录 startup
    installdir 木马安装目录 %appdata% or  %temp%

    9.png

    查询安图高级威胁溯源系统可以看到服务器bedahogs.100chickens.me对应的IP为178.239.21.37,地址位于波黑

    10.png

     

    然后执行instance函数进行持久化,首先根据注册表HKEY_LOCAL_MACHINE\\software\\中是否存在与脚本名相同的项目,来判断是否已经感染,并将该值记录到usbspreading,表示感染U盘。若不存在对应的注册表项则重新写入。

    11.png

    然后在instance中调用upstart将JS脚本木马写入注册表Run启动项(HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\),并将木马文件复制到安装目录(%appdata%或%temp%),

    以及全局启动项目录startup(C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)。

    12.png

     

    完成持久化之后,进入木马主体,在一个大while循环中不断执行安装操作和询问服务器(发送参数“is-ready”),并根据服务器返回的不同指令执行各类动作。

    13.png

     

    在安装函数install中对系统中的移动磁盘进行感染,包括U盘或移动硬盘等移动存储设备都会被植入木马。感染时首先枚举drivers,找出类型为“1”的磁盘(可移动盘),然后将木马文件复制到该盘根目录下,然后枚举该盘中的所有文件及文件夹,使用每个文件或文件夹的名字生成快捷方式,并将快捷方式启动对象设置为木马文件。

    14.png

     

    感染效果如下

    15.jpg

     

    打开每个lnk内容为:

    C:\windows\system32\cmd.exe /c start VPO0918001.js

    &start explorer *****&exit

    感染完成后向服务器发送“is-ready”命令,等待服务器返回指令。

    16.png

     

    17.png

     

    木马接收服务器共23个远控指令对肉鸡进行完全控制,功能包括断开连接、重启、关机、搜集密码、上传日志、下载执行程序、启动各类插件、执行cmd命令、枚举进程、启动键盘记录程序等,指令及对应功能整理如下:

    18.png

     

    搜集系统信息

    19.png

     

    搜集反病毒产品信息

    20.png

     

    搜集浏览器、邮箱中使用的登录密码

    21.png

     

    开启键盘记录

    22.png

     

    下载执行程序

    23.png

     

    执行shell命令(cmd)

    24.png

     

    枚举进程

    25.png

    lkdsUaKrEM.js

    邮件附件压缩包中投递的木马VPO0918001.js除了执行自身的恶意功能外,还会释放子木马lkdsUaKrEM.js,子木马被释放到%appdata%目录,大小只有36K,执行后拷贝自身到全局启动目录,具有与母体相似的功能例如持久化、远控、感染移动设备。

    26.png

    采用与母体同样的混淆方式,执行时会进行还原

    27.png

    与母体相同的远控功能不再进行分析,不同的地方是,子木马中包含作者的skype信息:“live:unknown.sales64”,但是不能确定传播该木马和制作该木马的黑客为同一个人。另外子木马中的控制端上线地址与母体不同,为brothersjoy.nl,端口为6789。 

    28.png

     

    而通过对比发现,该木马的代码与其他厂商早期发现的H-Worm蠕虫病毒有较大相似之处,推测此次攻击中黑客参考H-Worm病毒制作了木马,并且将病毒实现语言由VBS脚本修改为JS脚本。

    29.png

    三、安全建议

    1、不要打开不明来源的邮件附件,对于邮件附件中的文件要谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描; 

    2、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击; 

    3、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统;

    30.png

    4、对于已中招用户,除了使用杀软清理“H-Worm”病毒外,还可手动做以下操作: 

    删除文件:

    %appdata%\ VPO0918001.js

    %temp%\VPO0918001.js

    %appdata%\ lkdsUaKrEM.js

    %temp%\ lkdsUaKrEM.js 

    C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VPO0918001.js

    C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lkdsUaKrEM.js 

    删除注册表项:

    HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\VPO0918001.js

    HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\lkdsUaKrEM.js 

    IOCs

    Domain

    brothersjoy.nl

    bedahogs.100chickens.me 

    C&C

    brothersjoy.nl:6789

    bedahogs.100chickens.me:4441 

    md5

    2908aea37739687ddf8c2e8153acd492

    c66d257c78ecece9da26183be4935b58

    f03019a53ce55fe08d02fc0c0f105f56 

     

    参考资料:

    https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/java-vbs-joint-exercise-delivers-rat/ 

    https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-H-Worm.html 

    # 钓鱼邮件 # 腾讯安全 # 远程控制木马 # H-worm # houdini
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者