首页

阅读

活动

招聘

安全导航

内容精选

Bulehero 蠕虫病毒安全分析报告

阅读量246768

发布时间 : 2020-08-14 10:00:40

作者：answerboy @知道创宇404积极防御实验室

1 概述

近日知道创宇404积极防御团队通过知道创宇云防御安全大数据平台（GAC）监测到大量利用Struts2、ThinkPHP等多个Web组件漏洞进行的组合攻击，并捕获到相关样本，经分析确认该样本为Bulehero蠕虫病毒。目前该Web攻击均被创宇盾拦截；知道创宇NDR流量监测系统也已经支持检测所有相关恶意IOC及流量。

2 追溯分析

2.1 发现攻击

2020年7月26日，通过日志分析发现IP：47.92.*.*（北京）、119.23.*.*（广东）、117.89.*.*（南京）等多个IP对客户网站发起Web漏洞攻击，通过远程下载并执行恶意文件Download.exe，如下：

ThinkphpV5进行攻击：

Tomcat PUT方式任意文件文件上传：

Struts2远程命令执行：

经过分析，发现Download.exe为下载器，执行流程如下：

图1-执行流程

2.2 详细分析

2.2.1 Download.exe

Download.exe作为下载器，攻击成功之后会继续前往 http://UeR.ReiyKiQ.ir/AdPopBlocker.exe 下载AdPopBlocker.exe到系统TEMP目录并创建名为Uvwxya和fmrgsebls的计划任务来实现自启动，如下：

图2-下载母体AdPopBlocker.exe

图3-下载母体到TEMP目录

2.2.2 AdPopBlocker.exe

AdPopBlocker.exe作为母体会释放扫描模块、MSSQL爆破模块、挖矿模块等同时启动web攻击模块。

扫描模块：

释放扫描模块到目录C:\Windows\iqvebecsc\ilebaiib下，并通过内置的几个IP查询网站获取自身的外网IP：

图4-获取自身外网IP

随后将生成的IP段地址保存为ip.txt，启动端口扫描工具对IP地址的80、8080等端口进行扫描，扫描完成后将扫描结果保存到result.txt。病毒会同时对内网以及外网IP地址攻击，使其传播更为广泛。

图5-扫描的IP段文件

图6-内置的部分IP段

攻击模块：

释放永恒之蓝攻击模块到C:\Windows\iqvebecsc\UnattendGC目录,针对开放139/445端口的电脑利用永恒之蓝攻击模块进行攻击，攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll)，如下图：

图7-永恒之蓝攻击模块

图8-释放永恒之蓝攻击模块到UnattendGC目录下

图9-139/445端口扫描

利用MSSql sa用户弱口令进行爆破，使用的部分密码字典如图：

图10-sa用户弱口令爆破

图11-1 部分密码字典

使用Mimikatz搜集本机登录密码

图11-2 本机密码搜集

释放挖矿模块，并使用XMRig/6.6.2版本连接 185.147.34.10进行挖矿：

图12-挖矿

发起Web攻击：

Struts2远程命令执行漏洞（CVE-2017-5638）攻击

图13-Struts2漏洞攻击

PhpStudy后门漏洞攻击

图14-Phpstudy后门攻击

ThinkPHPV5远程代码执行漏洞（CNVD-2018-24942）攻击

图15-ThinkPHPV5漏洞攻击

Tomacat PUT方式任意文件上传漏洞（CVE-2017-12615）攻击

上传名为FxCodeShell.jsp的Webshell，如下：

图16-上传的Webshell

Apache Solr 远程命令执行漏洞（CVE-2019-0193）攻击

图17- Apache Solr漏洞攻击

Drupal远程代码执行漏洞（CVE-2018-7600）攻击

图18- Drupal漏洞攻击

Weblogic反序列化远程代码执行漏洞（CVE-2019-2725）攻击

图19- Weblogic漏洞攻击

3 防护建议

服务器暂时关闭不必要的端口（如135、139、445）；
下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞；
定期对服务器进行加固，尽早修复服务器相关组件安全漏洞，安装服务器端的安全软件；
服务器切勿使用弱口令，避免暴力破解。

4 附：IOCs

IP	地理位置
88.218.16.210	荷兰
172.105.239.24	日本
139.162.72.83	日本
185.147.34.10	荷兰

URL
http://gie.ezrutou.ir:63145/conf.dat
http://UeR.ReiyKiQ.ir/AdPopBlocker.exe
http://172.105.239.24/sesnordateservice.exe

Domain
UeR.ReiyKiQ.ir
gie.ezrutou.ir
ai.0x1725.site

MD5
43f064685ed285cd8373759fb54ec238
386be8418171626f63adb52d763ca1c0
50ca2f5c614dd456a5fba497a33e587b
6d2a5d8b341883a7403b48363144c054

5 参考链接

https://www.freebuf.com/column/180544.html

本文转载自: Seebug

如若转载,请注明出处： https://paper.seebug.org/1283/

安全客 - 有思想的安全新媒体

分享到：

0赞

收藏

知道创宇404实验室

分享到：

发表评论

知道创宇404实验室

知道创宇404实验室，长期致力于Web 、IoT 、工控、区块链等领域内安全漏洞挖掘、攻防技术的研究工作，团队曾多次向国内外多家知名厂商如微软、苹果、Adobe 、腾讯、阿里、百度等提交漏洞研究成果，并协助修复安全漏洞，多次获得相关致谢，在业内享有极高的声誉。

文章
112

粉丝
68

TA的文章

虽迟但到！404 Paper 精粹新刊发布，抢2022套册
2023-03-16 17:00:32
ProxmoxVE 下的 Windows 内核调试环境配置
2023-03-01 10:30:11
Citrix CVE-2022-27518 漏洞分析
2023-02-21 14:30:10
StealthHook - 一种在不修改内存保护的情况下挂钩函数的方法
2023-01-04 10:30:12
DirectX Hook - 优雅的实现游戏辅助窗口
2023-01-03 10:30:51

相关文章

技术分享｜LLM大语言模型应用安全解析
2024-04-01 19:03:26
大模型竟成为犯罪帮凶？
2024-03-25 11:31:37
终端防御对抗演化史（一）
2024-03-25 11:30:07
赛迪权威报告：知道创宇在安全大模型领域获高度认可
2024-03-15 17:45:10

热门推荐

文章目录

1 概述
2 追溯分析
- 2.1 发现攻击
- 2.2 详细分析
3 防护建议
4 附：IOCs
5 参考链接

安全客

商务合作

内容需知

投稿须知
转载须知
官网QQ群8：819797106
官网QQ群3：830462644(已满)
官网QQ群2：814450983(已满)
官网QQ群1：702511263(已满)

合作单位

Copyright © 北京奇虎科技有限公司 360网络攻防实验室安全客 All Rights Reserved 京ICP备08010314号-66