現象
人在做,天在看。
遠控類木馬的活動一直是360天眼實驗室的關注重點,近期我們的天眼設備發現了如下一組看起來非常眼熟的被訪問的鏈接。URL的模式非常明顯:免費動態域名+非知名的端口+“/is-ready” 。
http://adolf2013.sytes.net:1183/is-ready
http://herohero.no-ip.org:96/is-ready
http://micr0s0ftsoft.myftp.org:82/is-ready
http://dzhacker15.no-ip.org:100/is-ready
http://blackmind.redirectme.net:820/is-ready
http://aass.no-ip.biz:83/is-ready
http://sidisalim.myvnc.com:1888/is-ready
http://spy2010net.zapto.org:83/is-ready
http://smoker21.hopto.org:1920/is-ready
查詢360威脅情報中心,上面提及的這些域名關聯到同一個IP地址:204.95.99.31 。
而對IP 204.95.99.31查詢情報中心的Passive DNS數據,我們可以發現其綁定過大量的惡意域名,從那些域名通過威脅情報中心又能很快關聯相應的惡意樣本。經過對得到的樣本的分析,我們確認其中絕對大部分樣本屬于H-WORM惡意代碼家族,此外還有一些諸如njRAT、 XtremeRAT、njW0rm等使用同一家族通信協議的RAT惡意樣本。
從我們對相關樣本量的歷史監測圖來看,H-WORM在國內一直保有一定的活躍度,其實H-WORM是個非常簡單的惡意代碼,但在我們強大的病毒查殺體系下卻能生存一下必定有它的原因,那么我們來了解一下這個叫做H-WORM的惡意程序。
H-WORM
H-WORM是個ID為Houdini的人寫的一款用VBS實現遠控蠕蟲,能夠通過感染U盤傳播,出現的時間最早可以追溯到2013年7月。因為其簡潔有效的遠控功能、非PE腳本易于免殺、便于修改等特性,一直被黑產所青睞而活躍至今。
2013年7月24日,H-WORM的作者Houdini在某論壇上發布H-WORM的帖子
H-WORM樣本的主要傳播方式有三種:電子郵件附件、惡意鏈接和被感染的U盤傳播,蠕蟲式的傳播機制會形成大量的感染。 下面為作者公開提供下載的H-WORM控制端截圖,下載地址見文后的參考鏈接:
樣本分析
代碼簡潔而有效是H-WORM最大的特點。這里我們對選取其中一個H-WORM樣本做一下簡單分析,看看H-WORM感染受害者計算機后到底做了些什么,普通用戶又該怎樣采取應對措施。
樣本HASH:1eb712d4976babf7c8cd0b34015c2701bc5040420e688911e6614b278cc82a42
樣本名稱: F:cwtslatwbl.vbs
將樣本代碼簡單解密后,得到真正的代碼。解密方式為將“81899982838”替換為空格,然后取每個數值對應的ASCII字符即可。
樣本首先通過讀取注冊表HKEY_LOCAL_MACHINEsoftware腳本名 項來判斷當前系統是否已經感染,如未感染,則寫入該項。然后通過寫入注冊表項HKCUSoftwaremicrosoftCurrentVersionRun和HKLMSoftwaremicrosoftCurrentVersionRun來實現開機自啟動,并將自身拷貝到temp目錄和Startup目錄下:
接著,進入主循環,H-WORM會不斷循環遍歷系統驅動器判斷是否有可移動磁盤接入,如果有,則將自身拷貝到可移動磁盤內設置文件屬性為隱藏、系統文件。同時將除了.lnk文件外的其他文件隱藏,然后創建其快捷方式,快捷方式的參數則設置為用cmd調用自身,然后再打開原始文件以迷惑用戶,這是極其常見而又非常有效的通過移動介質進行傳播的方式。相關的代碼如下:
之后開始連接遠程服務器,通過HTTP請求向服務器發送用戶信息,其收集的用戶信息包括computername、username、操作系統版本、殺軟信息等等。接著開始接收服務器命令,主要功能有文件管理、進程管理、遠程shell、執行遠程代碼等等,值得一提的是樣本使用了User-Agent來傳遞數據:
接收命令和對應功能如下圖,命令格式為 command <|> param,通過<|>分割命令和參數。
受害者的計算機感染H-WORM之后,攻擊者可以進一步地推送其他惡意程序,使其被徹底控制,或者使其成為僵尸網絡的一部分。
感染情況
通過360威脅情報中心的數據,我們估計了最近一個月的H-WORM的感染量,感染的計算機超過6000臺。從地域來看,感染影響32個省份和直轄市,其中陜西省和吉林省的受害者最多,占總數的10%和9%;其次是河南、天津,比例均超過7%;然后是四川、廣東、江蘇、福建、山東、云南等,占比也超過5%。這個分布狀態與我們通常看到的與省份的發達程度成正比的惡意代碼感染量并不一致,背后的原因也許值得挖掘。
IOC
我們統計到的H-WORM樣本涉及的C&C地址共有173個,其中有126個域名可以觀察到歷史解析信息,截至最近抽樣統計總共解析接近1000萬次。 下表為目前比較活躍的其中50個域名,可以作為非常有效的IOC使用。全部已知的域名作為威脅情報已經推送到天眼設備,在部署了設備的網絡可以快速發現被感染的系統。
域名
zzzch.zapto.org
ysf.no-ip.biz
ycemufkk6g.bounceme.net
xxx-xxx.no-ip.info
xkiller.no-ip.info
wach.no-ip.org
tariqalr.zapto.org
shagagy21.no-ip.biz
sexcam.3utilities.com
servecounterstrike.servecounterstrike.com
playgame.servecounterstrike.com
p-dark.zapto.org
nouna1985.no-ip.org
n0it.no-ip.org
mzab47.myq-see.com
modox.no-ip.org
mmoohhaammeedd.no-ip.biz
mlcrosoft.serveftp.com
microsoftupgrades.servehttp.com
microsoftsystem.sytes.net
micr0s0ftsoft.myftp.org
mda.no-ip.org
maroco.redirectme.net
maroco.myq-see.com
maroco.linkpc.net
man2010.no-ip.org
korom.zapto.org
koko.myftp.org
klonkino.no-ip.org
king.servemp3.com
herohero.no-ip.org
hacker20133.no-ip.org
googlechrome.servequake.com
g00gle.sytes.net
dzhacker15.no-ip.org
dz47.servehttp.com
dz47.myq-see.com
dz47.linkpc.net
dream7.no-ip.biz
diiimaria.zapto.org
desha10.no-ip.org
dataday3.no-ip.org
darkanony0501.no-ip.biz
cupidon.zapto.org
chrom.no-ip.info
bog5151.zapto.org
blackmind.redirectme.net
albertino.no-ip.info
adolf2013.sytes.net
adamdam.zapto.org
參考鏈接
http://www.ic0de.org/archive/index.php/t-12134.html
http://rghost.net/47560191
https://www.fireeye.com/blog/threat-research/2013/08/njw0rm-brother-from-the-same-mother.html
京公網安備 11010502049343號