![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
作者:answerboy @知道创宇404积极防御实验室
时间:2020年8月5日
近日知道创宇404积极防御团队通过知道创宇云防御安全大数据平台(GAC)监测到大量利用Struts2、ThinkPHP等多个Web组件漏洞进行的组合攻击,并捕获到相关样本,经分析确认该样本为Bulehero蠕虫病毒。目前该Web攻击均被创宇盾拦截;知道创宇NDR流量监测系统也已经支持检测所有相关恶意IOC及流量。
2020年7月26日,通过日志分析发现IP:47.92.*.*
(北京)、119.23.*.*
(广东)、117.89.*.*
(南京)等多个IP对客户网站发起Web漏洞攻击,通过远程下载并执行恶意文件Download.exe,如下:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
经过分析,发现Download.exe为下载器,执行流程如下:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
2.2.1 Download.exe
Download.exe作为下载器,攻击成功之后会继续前往 http://UeR.ReiyKiQ.ir/AdPopBlocker.exe 下载AdPopBlocker.exe到系统TEMP目录并创建名为Uvwxya和fmrgsebls的计划任务来实现自启动,如下:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
2.2.2 AdPopBlocker.exe
AdPopBlocker.exe作为母体会释放扫描模块、MSSQL爆破模块、挖矿模块等同时启动web攻击模块。
释放扫描模块到目录C:Windowsiqvebecscilebaiib下,并通过内置的几个IP查询网站获取自身的外网IP:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
随后将生成的IP段地址保存为ip.txt,启动端口扫描工具对IP地址的80、8080等端口进行扫描,扫描完成后将扫描结果保存到result.txt。病毒会同时对内网以及外网IP地址攻击,使其传播更为广泛。
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
释放永恒之蓝攻击模块到C:WindowsiqvebecscUnattendGC目录,针对开放139/445端口的电脑利用永恒之蓝攻击模块进行攻击,攻击成功后植入Payload(AppCapture32.dll/AppCapture64.dll),如下图:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
图8-释放永恒之蓝攻击模块到UnattendGC目录下
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
利用MSSql sa用户弱口令进行爆破,使用的部分密码字典如图:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
释放挖矿模块,并使用XMRig/6.6.2版本连接 185.147.34.10进行挖矿:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
Struts2远程命令执行漏洞(CVE-2017-5638)攻击
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
ThinkPHPV5远程代码执行漏洞(CNVD-2018-24942)攻击
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
Tomacat PUT方式任意文件上传漏洞(CVE-2017-12615)攻击
上传名为FxCodeShell.jsp的Webshell,如下:
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
Apache Solr 远程命令执行漏洞(CVE-2019-0193)攻击
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
Drupal远程代码执行漏洞(CVE-2018-7600)攻击
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
Weblogic反序列化远程代码执行漏洞(CVE-2019-2725)攻击
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
1. 服务器暂时关闭不必要的端口(如135、139、445);
2. 下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞;
3. 定期对服务器进行加固,尽早修复服务器相关组件安全漏洞,安装服务器端的安全软件;
IP
|
地理位置
|
88.218.16.210 |
荷兰
|
172.105.239.24 |
日本
|
139.162.72.83 |
日本
|
185.147.34.10 |
荷兰
|
URL |
http://gie.ezrutou.ir:63145/conf.dat
|
http://UeR.ReiyKiQ.ir/AdPopBlocker.exe
|
http://172.105.239.24/sesnordateservice.exe
|
MD5 |
43f064685ed285cd8373759fb54ec238
|
386be8418171626f63adb52d763ca1c0
|
50ca2f5c614dd456a5fba497a33e587b
|
6d2a5d8b341883a7403b48363144c054
|
https://www.freebuf.com/column/180544.html
往 期 热 门
(点击图片跳转)
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
觉得不错点个“在看”哦![Bulehero 蠕虫病毒安全分析报告 Bulehero 蠕虫病毒安全分析报告]()
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
点赞
https://cn-sec.com/archives/83055.html
复制链接
复制链接
-
左青龙
- 微信扫一扫
-
-
右白虎
- 微信扫一扫
-
评论