DDOS防御专家-提供超强DDoS高防/CC防护/大流量清洗服务!
当前位置:主页 > WEB安全 > 正文

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增

09-17 WEB安全

0×1 概述
近日腾讯御见威胁情报中心监测到大量下载Glupteba恶意代理木马。不同以往的是,该恶意木马并未通过Operation Windigo僵尸网络进行传播,而是通过其他的木马下载器(Scheduled.exe)进行传播。进一步溯源分析发现,该木马下载器利用“永恒之蓝”漏洞进行传播,从而导致了该木马的感染量的激增。
Glupteba木马会绕过UAC,以管理员权限和系统权限运行,会创建防火墙策略,将木马程序加入白名单;修改Windows Defender策略,将木马程序添加到病毒查杀白名单。木马会收集中毒电脑的隐私信息,利用中毒电脑挖矿。
0×2 详细分析
Scheduled.exe分析:
scheduled.exe首先申请空间,释放PE文件执行。将释放的PE dump出来,发现是golang编写的,利用IDA python脚本将函数重命名。释放的PE首先执行写入配置信息到注册表HEKY_CURRENT_USER/Software/Microsoft/TestApp中。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


写入配置信息
然后判断是否是管理员权限,如果不是,则利用写注册表 
"HKCU\Software\Classes\mscfile\shell\open\command"
然后通过启动CompMgmtLauncher绕过UAC以管理员权限重新启动自己。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


运行CompMgmtLauncher
重启后再判断是否是系统权限,如果不是则通过以TrustedInstaller运行自己提高权限。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


以TrustedInstaller运行
判断自己路径名是否是”C:\Windows\rss\csrss.exe”,如果不是则执行安装逻辑。
首先会判断是否在虚拟机中运行。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


检查VirtualBox
然后添加防火墙策略,并设置注册表配置firewall键值为1,将程序启动加入Windows防火墙的白名单。
cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"
cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes"
创建其他释放文件相关目录,并写入注册表
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\”的paths和processs下的子健。并且设置注册表配置defender键值为1。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


创建目录文件夹
最后将自身移动到”C:\Windows\rss\”下,重命名”csrss.exe”,设置文件夹隐藏,并设置注册表Software\Microsoft\Windows\CurrentVersion\RUN,最后重新启动csrss.exe。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


设置自启
重启后再向服务器注册bot将服务器返回数据再写入注册表配置UUID(后续下载的CloudNet启动需要)。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


注册bot
注册bot完成后创建两个任务分别用于执行自己和更新自己。
schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F
schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F
然后再释放3个sys文件和1个exe文件到目标目录设置隐藏属性,并加载驱动和exe。”C:\Windows\System32\drivers\”下释放三个隐藏sys文件:
Winmon.sys用于隐藏对应PID进程。
WinmonFS.sys隐藏指定文件或目录。
WinmonProcessMonitor.sys查找指定进程,并关闭。

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播,感染量激增


WinmonFS.sys隐藏文件
C:\Windows\下释放一个exe文件:
Windefender.exe
添加规则到windows defender。
cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)
cmd.exe /C sc sdset WinmonFS D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

版权保护: 本文由 DDOS防御专家 原创,转载请保留链接: http://www.ddosgb.com//web/98.html

DDoS防御专家简介孤之剑
国内资深白帽子二十人组成员,前BAT资深网络安全工程师,知名网络安全站点板块大神,每年提交Google及微软漏洞,原sina微博负载插件开发者,现在整体防御复合攻击长期接受1-4.7T攻击,CC防护自主开发指纹识别系统,可以做到99.9999%的无敌防御。
  • 文章总数
  • 722652访问次数
  • 建站天数

    DDOS防御

    ddos防御

    cc防护

    web安全

    高防服务器

    高防cdn


    QQ客服

    400-0797-119

    X