• :
  • 病毒分析|一个正在组建的庞大僵尸网络-爱毒霸交流论坛
    用户
     找回密码

        找回密码

    QQ登录

    只需一步,快速开始

    搜索

    [安全贴士] 病毒分析 | 一个正在组建的庞大僵尸网络

    [复制链接]

    该用户从未签到

    发表于 2018-8-3 16:13:30 只看该作者

    马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

    您需要 登录 才可以下载或查看,没有帐号?

    x
           近期,金山毒霸安全实验室捕获到一类木马病毒非常活跃,用户反馈较多,感染量比较广。国外5月份感染量达到30万,并且呈现上升趋势,到7月份感染量,已经达80万之多。国内用户也频繁中招,此病毒通过伪造邮件传播,诱导用户点击链接,下载含有恶意宏病毒的Office文件,一旦用户执行此宏文件,则会下载病毒作者云端的可执行文件,当然此云端文件可以根据作者的需求随时做修改,它真正的攻击模块都是可变的,是基于一个庞大的僵尸网络系统。

           此次攻击者利用了大量的已经被攻陷的肉机来做中转站,出现大量的僵尸网络。根据这个病毒的家族史来看,僵尸网络一向就是他们的核心利用点,以下只是这个病毒家族利用过的网络域名,但这仅仅是九牛一毛。

    1.png
    2.png

    病毒下载流程图:
    3.png
          
    执行流程图:
    4.png
          
        此病毒利用宏,解密CMD命令并且执行后又动态解密一段powershell进行下载执行其僵尸网络配置的可执行程序。具体病毒流程:
    恶意邮件:

        此邮件,包含一个恶意链接,只要用户点击,就会从云端下载一个含有恶意宏病毒的Word文件。
    5.png
    恶意Word宏文件:
    6.png

    首先进入Document_open() 函数:
    7.png
    宏会依次解密出CMD命令:
    8.png

    解密得到一个CMD命令,也是简单混淆过的,再次解密后如下:
    9.png

    CMD解密后的作用是调用Powershell,进行下载执行,到此一个前期传播下载的功能就执行完毕了。

        下载后宿主程序会分配内存,并且解密一个PE文件(A)到已分配好的内存中,并且加载它,当A程序执行的时候,又会释放一个PE文件(B),当然还在宿主程序内存空间中,与之同时还会释放shellcode,所有的业务核心代码都在shellcode里面执行,外围的只是一个loader作用,目的是来隐蔽自己,绕过杀软。
    10.png
       
        前期的花式loader都是为了隐蔽自己,其核心功能在shellcode中,会发送用户的信息,并以Cookie方式提交到作者的肉机服务器。
    11.png

    12.png

    13.png

        从这次病毒木马来看,病毒作者团队高手芸芸,攻陷了全球各地网站服务器,网站模板CMS系统各式各样都有,包括Wordpress , joomla-cms 等等,其中包括学校机构,企业,当然还有各种网络设备。
    14.png
    15.png
          
           那么病毒团队制作出全球性,庞大的僵尸网络,仅仅就是用了配合垃圾邮件提供下载作用吗?Too young Too Simple. 僵尸网络还有其它更重要的作用:

    1、DDOS:利用连接到僵尸网络的僵尸主机,可以向特定主机发动拒绝服务攻击。
    2、监控:僵尸主机也可以被用于监控和“嗅探”数据,如用户名和密码。
    3、欺诈:顾名思义,可以做一系列的钓鱼网站,引诱用户,并且盗取其账号密码。
    4、控制:控制自己的客户端的木马病毒,监控用户。
           ……

           庞大的服务器沦陷,极有可能涉及到国内的企业,学校,ZF的服务器。金山毒霸安全专家提议:

    1、及时升级网站CMS程序。
    2、及时更新系统补丁。
    3、修改弱密码,以防止暴力破解。
    4、防止恶意邮件,钓鱼网站等等。
    5、提高安全意识,防火,防盗,防社工。

    总结:

             平时上网时,不要打开不明邮件,更不要下载其内容;不要打开不明邮件,更不要下载其内容;本地Office软件最好禁止宏的自动加载,避免不小心打开含有恶意宏病毒的Office文档;电脑安装金山毒霸进行实时防御,查杀。企业,学校,ZF更要防护好自己的服务器,不要做别人的傀儡。
    16.png
    (金山毒霸检出此类病毒截图)

    QQ图片20170310085531_副本.jpg

    使用道具 举报 回复
    从这次病毒木马来看,病毒作者团队高手芸芸,攻陷了全球各地网站服务器,网站模板CMS系统各式各样都有,包括Wordpress , joomla-cms 等等,其中包括学校机构,企业,当然还有各种网络设备。
    使用道具 举报 回复 支持 1 反对 0
    特来看看,知道了。
    使用道具 举报 回复 支持 反对
    您需要登录后才可以回帖 登录 | 注册

    本版积分规则