H-WORM:简单而活跃的远控木马

阅读量607604

|

发布时间 : 2016-07-01 10:36:40

现象

人在做,天在看。

远控类木马的活动一直是360天眼实验室的关注重点,近期我们的天眼设备发现了如下一组看起来非常眼熟的被访问的链接。URL的模式非常明显:免费动态域名+非知名的端口+“/is-ready” 。

http://adolf2013.sytes.net:1183/is-ready

http://herohero.no-ip.org:96/is-ready

http://micr0s0ftsoft.myftp.org:82/is-ready

http://dzhacker15.no-ip.org:100/is-ready

http://blackmind.redirectme.net:820/is-ready

http://aass.no-ip.biz:83/is-ready

http://sidisalim.myvnc.com:1888/is-ready

http://spy2010net.zapto.org:83/is-ready

http://smoker21.hopto.org:1920/is-ready

查询360威胁情报中心,上面提及的这些域名关联到同一个IP地址:204.95.99.31 。

https://p2.ssl.qhimg.com/t01a2f976fd13c2e85a.png

而对IP 204.95.99.31查询情报中心的Passive DNS数据,我们可以发现其绑定过大量的恶意域名,从那些域名通过威胁情报中心又能很快关联相应的恶意样本。经过对得到的样本的分析,我们确认其中绝对大部分样本属于H-WORM恶意代码家族,此外还有一些诸如njRAT、 XtremeRAT、njW0rm等使用同一家族通信协议的RAT恶意样本。

https://p1.ssl.qhimg.com/t01847868929bdada07.png

从我们对相关样本量的历史监测图来看,H-WORM在国内一直保有一定的活跃度,其实H-WORM是个非常简单的恶意代码,但在我们强大的病毒查杀体系下却能生存一下必定有它的原因,那么我们来了解一下这个叫做H-WORM的恶意程序。

https://p2.ssl.qhimg.com/t01399d6d7aa97e2332.png

H-WORM

H-WORM是个ID为Houdini的人写的一款用VBS实现远控蠕虫,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。

https://p5.ssl.qhimg.com/t015b9ca6317200d468.png

2013年7月24日,H-WORM的作者Houdini在某论坛上发布H-WORM的帖子

H-WORM样本的主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。 下面为作者公开提供下载的H-WORM控制端截图,下载地址见文后的参考链接:

https://p4.ssl.qhimg.com/t01249c903edfc9c6a3.png

样本分析

代码简洁而有效是H-WORM最大的特点。这里我们对选取其中一个H-WORM样本做一下简单分析,看看H-WORM感染受害者计算机后到底做了些什么,普通用户又该怎样采取应对措施。

样本HASH:1eb712d4976babf7c8cd0b34015c2701bc5040420e688911e6614b278cc82a42

样本名称: F:cwtslatwbl.vbs

将样本代码简单解密后,得到真正的代码。解密方式为将“81899982838”替换为空格,然后取每个数值对应的ASCII字符即可。

https://p5.ssl.qhimg.com/t0144ee3295feadb20b.png

样本首先通过读取注册表HKEY_LOCAL_MACHINEsoftware脚本名  项来判断当前系统是否已经感染,如未感染,则写入该项。然后通过写入注册表项HKCUSoftwaremicrosoftCurrentVersionRun和HKLMSoftwaremicrosoftCurrentVersionRun来实现开机自启动,并将自身拷贝到temp目录和Startup目录下:

https://p5.ssl.qhimg.com/t01e4d28a8862949d09.png

接着,进入主循环,H-WORM会不断循环遍历系统驱动器判断是否有可移动磁盘接入,如果有,则将自身拷贝到可移动磁盘内设置文件属性为隐藏、系统文件。同时将除了.lnk文件外的其他文件隐藏,然后创建其快捷方式,快捷方式的参数则设置为用cmd调用自身,然后再打开原始文件以迷惑用户,这是极其常见而又非常有效的通过移动介质进行传播的方式。相关的代码如下:

https://p4.ssl.qhimg.com/t0184a8c84761bfcfc4.png

之后开始连接远程服务器,通过HTTP请求向服务器发送用户信息,其收集的用户信息包括computername、username、操作系统版本、杀软信息等等。接着开始接收服务器命令,主要功能有文件管理、进程管理、远程shell、执行远程代码等等,值得一提的是样本使用了User-Agent来传递数据:

https://p0.ssl.qhimg.com/t01a3c23715060f4602.png

https://p1.ssl.qhimg.com/t01566ef6acaf682746.png

接收命令和对应功能如下图,命令格式为 command <|> param,通过<|>分割命令和参数。

https://p5.ssl.qhimg.com/t01ab12d61cd75eff49.png

受害者的计算机感染H-WORM之后,攻击者可以进一步地推送其他恶意程序,使其被彻底控制,或者使其成为僵尸网络的一部分。

感染情况

通过360威胁情报中心的数据,我们估计了最近一个月的H-WORM的感染量,感染的计算机超过6000台。从地域来看,感染影响32个省份和直辖市,其中陕西省和吉林省的受害者最多,占总数的10%和9%;其次是河南、天津,比例均超过7%;然后是四川、广东、江苏、福建、山东、云南等,占比也超过5%。这个分布状态与我们通常看到的与省份的发达程度成正比的恶意代码感染量并不一致,背后的原因也许值得挖掘。

https://p0.ssl.qhimg.com/t0111788fa22e377a27.png

IOC

我们统计到的H-WORM样本涉及的C&C地址共有173个,其中有126个域名可以观察到历史解析信息,截至最近抽样统计总共解析接近1000万次。

下表为目前比较活跃的其中50个域名,可以作为非常有效的IOC使用。全部已知的域名作为威胁情报已经推送到天眼设备,在部署了设备的网络可以快速发现被感染的系统。

域名

zzzch.zapto.org

ysf.no-ip.biz

ycemufkk6g.bounceme.net

xxx-xxx.no-ip.info

xkiller.no-ip.info

wach.no-ip.org

tariqalr.zapto.org

shagagy21.no-ip.biz

sexcam.3utilities.com

servecounterstrike.servecounterstrike.com

playgame.servecounterstrike.com

p-dark.zapto.org

nouna1985.no-ip.org

n0it.no-ip.org

mzab47.myq-see.com

modox.no-ip.org

mmoohhaammeedd.no-ip.biz

mlcrosoft.serveftp.com

microsoftupgrades.servehttp.com

microsoftsystem.sytes.net

micr0s0ftsoft.myftp.org

mda.no-ip.org

maroco.redirectme.net

maroco.myq-see.com

maroco.linkpc.net

man2010.no-ip.org

korom.zapto.org

koko.myftp.org

klonkino.no-ip.org

king.servemp3.com

herohero.no-ip.org

hacker20133.no-ip.org

googlechrome.servequake.com

g00gle.sytes.net

dzhacker15.no-ip.org

dz47.servehttp.com

dz47.myq-see.com

dz47.linkpc.net

dream7.no-ip.biz

diiimaria.zapto.org

desha10.no-ip.org

dataday3.no-ip.org

darkanony0501.no-ip.biz

cupidon.zapto.org

chrom.no-ip.info

bog5151.zapto.org

blackmind.redirectme.net

albertino.no-ip.info

adolf2013.sytes.net

adamdam.zapto.org

参考链接

http://www.ic0de.org/archive/index.php/t-12134.html

http://rghost.net/47560191

https://www.fireeye.com/blog/threat-research/2013/08/njw0rm-brother-from-the-same-mother.html

本文由360天眼安全实验室原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/84132

安全客 - 有思想的安全新媒体

分享到:微信
+12赞
收藏
360天眼安全实验室
分享到:微信

发表评论

内容需知
  • 投稿须知
  • 转载须知
  • 官网QQ群8:819797106
  • 官网QQ群3:830462644(已满)
  • 官网QQ群2:814450983(已满)
  • 官网QQ群1:702511263(已满)
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 360网络攻防实验室 安全客 All Rights Reserved 京ICP备08010314号-66