毕尔巴鄂对阵皇家社会:两支近邻球队将于西甲联赛 “巴斯克德比”中为捍卫荣耀而战贝壳第三季度营收226亿元 经调净利润17.8 亿元 同比下降17.46%AI营销,让科技巨头尝到了大模型商业化的甜头安恒信息范渊在乌镇峰会谈AI:以工具视之、以工具用之、以工具治理之诺基亚与微软再合作,为 Azure 数据中心供货延长五年天岳先进发布业界首款 300mm(12 英寸)N 型碳化硅衬底三星介绍内部安全团队 Project Infinity 攻防演练项目,高效修复 Galaxy 手机平板漏洞上海市将推进低空飞行服务管理能力建设,2027 年底前累计划设相应航线不少于 400 条岁末,海尔给您备好一套“小红花”为什么说Q10K Pro是今年最值得入手的电视?看完这几点就明白了!“小墨方·大不凡”!Brother“小墨方”系列彩喷一体机全新上市黄仁勋:AI智能需求强劲,“物理定律”限制英伟达芯片增长诺基亚与微软再合作,为Azure数据中心供货延长五年国家数据局:到2029年基本建成国家数据基础设施主体结构中国已发展成为全球最大的互联网市场,拥有全球最多的网民和移动互联网用户中国铁塔:计划按照10:1的比例合股美国FCC正式划定5.9GHz频段用于C-V2X技术在AI领域奋起直追!苹果要对Siri大革新 2026年正式发布日本机构公布量子专利榜单:本源量子、国盾量子位居全球第1中国联通:拟向华为、中兴展开5G网络设备竞争性谈判采购
  • 首页 > 产经新闻频道 > 业界新闻

    中国黑客利用“永恒之蓝”搜刮肉鸡构建僵尸网络

    2017年05月31日 11:24:28   来源:站长之家

      近日,“永恒之蓝”WanaCry蠕虫勒索病毒肆虐全球,引起了网民高度重视,同时也引起了很多黑客的注意,据瑞星安全研究人员介绍,在众多漏洞利用的攻击者中,发现了一名ip地址位于中国的黑客。该黑客利用“永恒之蓝”漏洞把木马发送到被攻击机器,然后控制机器构建僵尸网络,目前已有上千台机器感染,未来还会造成更大的伤害。

      图:受影响IP全国分布

      该攻击最先由安全研究人员通过蜜罐捕获。蜜罐捕获到来了自IP 地址182.18.23.38 (此ip地址位于中国)的攻击,被攻击端口是 445 端口,后经分析发现,攻击使用的漏洞正是永恒之蓝漏洞。病毒作者攻击后会发送带有木马程序的Payload,之后Payload下载RAT远控木马实现机器的完全控制,从木马的编译时间来看,还要早于WannaCry。

      虽然此木马不会像WannaCry一样主动传播,也不会加密计算机中的文件,勒索赎金。但是病毒作者可以使用远控木马,完全控制被攻击计算机。控制计算机之后可以做任何事情。其中就有窃取文件,监控屏幕,监控摄像头,监听麦克风,所以对受害者而言,受到的伤害并不比勒索要小。

      此外,最近捕获的一些样本表明,泄露的漏洞除了被用于传播勒索病毒,传播木马之外。还有一些攻击者使用泄露的漏洞和攻击武器传播挖矿病毒,使受害者计算机cpu、显卡使用率飙升。导致计算机温度过高,机器严重卡顿,无法完成正常工作。还有一些攻击者,使用漏洞抓肉鸡,组建僵尸网络。这些僵尸网络可被用来DDOS攻击,对企业、社会造成极大的危害。有数据表明,60%的小企业会在遭受DDOS攻击 6 个月内倒闭。

      详细分析:

      攻击者 首先通过网络 向被攻击目标,发送可以触发漏洞的网络数据流。一旦攻击成功,攻击者将通过这条通道,发送一个二进制DLL文件,完成进一步的控制,下文中我们将此文件称作Payload。

      Payload分析

      1、攻击过程逻辑如下:

      图-攻击过程

      图-Payload执行过程

      2、病毒各部分功能:

      表-各部分功能

      3、Payload运行之后首先调用InWMI 函数将硬编码的Jscript脚本注册为WMI中的永久事件消费者。当与其绑定的时间到达时,就会被触发执行预先定义好的Jscript脚本,此方式较为隐蔽。

      图-注册WMI事件消费者

      图-硬编码的脚本

      脚本的功能是:

      (1)访问指定网页获取要结束的进程列表

      图-获取进程列表代码

      网页http://wmi.mykings.top:8888/kill.html 中的进程列表

      图-获取到的进程列表

      进程列表 :

      表-结束的进程

      (2)读取列表,结束指定进程,删除指定文件

      这些被结束的进程,删除的文件,都是已知的一些病毒常用的名称。作者这样做的目的是为了更加方便的控制受害者的计算机,防止被别的病毒干扰。并且也可以防止别的病毒引起的计算机异常时,受害者排查的时候发现自己。

      图-结束进程,删除文件

      (3)下载并运行指定程序

      访问网页wmi.mykings.top:8888/test.html 下载远控木马主体

      图-下载运行指定程序

      (4)运行RAT远控木马主体

      c:\\windows\\debug\\item.dat

      图-运行远控木马主体

      至此注册WMI事件的Jscrpit脚本功能完成。

      4.联网获取控制指令

      Payload中除了注册WMI之外,还会访问网络,获取控制指令

      首先访问http://down.mysking.info:8888/ok.txt 将内容读取到缓冲区中

      然后解析数据,读取控制指令,根据控制指令执行对应的功能

      读取到[down]指令

      则从后面的网址http://23.27.127.254:8888/close.bat下载文件

      保存为c:\windows\debug\c.bat

      图-下载c.bat命令

      c.bat的主要功能是关闭端口,防止利用同样漏洞的病毒再进入受害者计算机,导致自己的远控无法正常工作。

      图-关闭端口代码

      读取到[cmd]指令

      则执行后面的批处理命令

      图-cmd批处理命令

      批处理命令的功能和Jcript脚本功能类似 ,增加删除账户的功能,结束的进程也有变化。

      删除以下账户

      表-删除的账户

      结束指定进程删除文件

      表-结束的进程

      运行之前[down]命令下载的 c:\windows\debug\c.bat

      图-运行c.bat代码

      图-运行木马主体代码

      木马主体分析

      木马主体加了壳,反汇编无效,动态调试也很困难

      图-加壳信息

      图-区段信息

      图-入口代码

      但是通过字符串和执行的流程,发现了此木马是由开源远程控制软件的代码修改而来

      开源代码结构:

      图-开源代码结构

      木马运行之后,执行初始化操作,初始化完成之后创建监听线程等待远程控制服务器连接。根据远程发来的指令执行不同的功能。

      执行流程:

      图-木马执行流程

      创建监控线程线程,回调函数中

      keepAlive 等待控制指令,收到控制指令后根据指令 执行对应的功能

      图-监控线程源码

      图-监控线程反汇编代码

      此木马的主要功能有

      表-控制码功能

      对应代码:

      具体防范防御措施:

      1、安装系统补丁或开启Windows Update。

      2、在条件允许的情况下,关闭 445 端口。

      3、安装、升级专业的防病毒产品,开启全部监控功能。

      文章内容仅供阅读,不构成投资建议,请谨慎对待。投资者据此操作,风险自担。

    即时

    新闻

    明火炊具市场:三季度健康属性贯穿全类目

    奥维云网(AVC)推总数据显示,2024年1-9月明火炊具线上零售额94.2亿元,同比增加3.1%,其中抖音渠道表现优异,同比有14%的涨幅,传统电商略有下滑,同比降低2.3%。

    企业IT

    重庆创新公积金应用,“区块链+政务服务”显成效

    “以前都要去窗口办,一套流程下来都要半个月了,现在方便多了!”打开“重庆公积金”微信小程序,按照提示流程提交相关材料,仅几秒钟,重庆市民曾某的账户就打进了21600元。

    3C消费

    华硕ProArt创艺27 Pro PA279CRV显示器,高能实力,创

    华硕ProArt创艺27 Pro PA279CRV显示器,凭借其优秀的性能配置和精准的色彩呈现能力,为您的创作工作带来实质性的帮助,双十一期间低至2799元,性价比很高,简直是创作者们的首选。

    研究

    中国信通院罗松:深度解读《工业互联网标识解析体系

    9月14日,2024全球工业互联网大会——工业互联网标识解析专题论坛在沈阳成功举办。