现象
人在做,天在看。
远控类木马的活动一直是红雨滴团队的关注重点,近期我们的天眼设备发现了如下一组看起来非常眼熟的被访问的链接。URL的模式非常明显:免费动态域名+非知名的端口+“/is-ready” 。
- http://adolf2013.sytes.net:1183/is-ready
- http://herohero.no-ip.org:96/is-ready
- http://micr0s0ftsoft.myftp.org:82/is-ready
- http://dzhacker15.no-ip.org:100/is-ready
- http://blackmind.redirectme.net:820/is-ready
- http://aass.no-ip.biz:83/is-ready
- http://sidisalim.myvnc.com:1888/is-ready
- http://spy2010net.zapto.org:83/is-ready
- http://smoker21.hopto.org:1920/is-ready
查询奇安信威胁情报中心,上面提及的这些域名关联到同一个IP地址:204.95.99.31 。
而对IP 204.95.99.31查询情报中心的Passive DNS数据,我们可以发现其绑定过大量的恶意域名,从那些域名通过威胁情报中心又能很快关联相应的恶意样本。经过对得到的样本的分析,我们确认其中绝对大部分样本属于H-WORM恶意代码家族,此外还有一些诸如njRAT、 XtremeRAT、njW0rm等使用同一家族通信协议的RAT恶意样本。
从我们对相关样本量的历史监测图来看,H-WORM在国内一直保有一定的活跃度,其实H-WORM是个非常简单的恶意代码,但在我们强大的病毒查杀体系下却能生存一下必定有它的原因,那么我们来了解一下这个叫做H-WORM的恶意程序。
H-WORM
H-WORM是个ID为Houdini的人写的一款用VBS实现远控蠕虫,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。
2013年7月24日,H-WORM的作者Houdini在某论坛上发布H-WORM的帖子
H-WORM样本的主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。 下面为作者公开提供下载的H-WORM控制端截图,下载地址见文后的参考链接:
样本分析
代码简洁而有效是H-WORM最大的特点。这里我们对选取其中一个H-WORM样本做一下简单分析,看看H-WORM感染受害者计算机后到底做了些什么,普通用户又该怎样采取应对措施。
| 样本HASH | 1eb712d4976babf7c8cd0b34015c2701bc5040420e688911e6614b278cc82a42 |
| 样本名称 | F:\cwtslatwbl.vbs |
将样本代码简单解密后,得到真正的代码。解密方式为将“81899982838”替换为空格,然后取每个数值对应的ASCII字符即可。
样本首先通过读取注册表HKEY_LOCAL_MACHINE\software\脚本名 项来判断当前系统是否已经感染,如未感染,则写入该项。然后通过写入注册表项HKCU\Software\microsoft\CurrentVersion\Run和HKLM\Software\microsoft\CurrentVersion\Run来实现开机自启动,并将自身拷贝到temp目录和Startup目录下:
接着,进入主循环,H-WORM会不断循环遍历系统驱动器判断是否有可移动磁盘接入,如果有,则将自身拷贝到可移动磁盘内设置文件属性为隐藏、系统文件。同时将除了.lnk文件外的其他文件隐藏,然后创建其快捷方式,快捷方式的参数则设置为用cmd调用自身,然后再打开原始文件以迷惑用户,这是极其常见而又非常有效的通过移动介质进行传播的方式。相关的代码如下:
之后开始连接远程服务器,通过HTTP请求向服务器发送用户信息,其收集的用户信息包括computername、username、操作系统版本、杀软信息等等。接着开始接收服务器命令,主要功能有文件管理、进程管理、远程shell、执行远程代码等等,值得一提的是样本使用了User-Agent来传递数据:
接收命令和对应功能如下图,命令格式为 command <|> param,通过<|>分割命令和参数。
受害者的计算机感染H-WORM之后,攻击者可以进一步地推送其他恶意程序,使其被彻底控制,或者使其成为僵尸网络的一部分。
感染情况
通过奇安信威胁情报中心的数据,我们估计了最近一个月的H-WORM的感染量,感染的计算机超过6000台。从地域来看,感染影响32个省份和直辖市,其中陕西省和吉林省的受害者最多,占总数的10%和9%;其次是河南、天津,比例均超过7%;然后是四川、广东、江苏、福建、山东、云南等,占比也超过5%。这个分布状态与我们通常看到的与省份的发达程度成正比的恶意代码感染量并不一致,背后的原因也许值得挖掘。
IOC
我们统计到的H-WORM样本涉及的C&C地址共有173个,其中有126个域名可以观察到历史解析信息,截至最近抽样统计总共解析接近1000万次。
下表为目前比较活跃的其中50个域名,可以作为非常有效的IOC使用。全部已知的域名作为威胁情报已经推送到天眼设备,在部署了设备的网络可以快速发现被感染的系统。
| 域名 |
|---|
| zzzch.zapto.org |
| ysf.no.ip.biz |
| ycemufkk6g.bounceme.net |
| xxx.xxx.no.ip.info |
| xkiller.no.ip.info |
| wach.no.ip.org |
| tariqalr.zapto.org |
| shagagy21.no.ip.biz |
| sexcam.3utilities.com |
| servecounterstrike.servecounterstrike.com |
| playgame.servecounterstrike.com |
| p.dark.zapto.org |
| nouna1985.no.ip.org |
| n0it.no.ip.org |
| mzab47.myq.see.com |
| modox.no.ip.org |
| mmoohhaammeedd.no.ip.biz |
| mlcrosoft.serveftp.com |
| microsoftupgrades.servehttp.com |
| microsoftsystem.sytes.net |
| micr0s0ftsoft.myftp.org |
| mda.no.ip.org |
| maroco.redirectme.net |
| maroco.myq.see.com |
| maroco.linkpc.net |
| man2010.no.ip.org |
| korom.zapto.org |
| koko.myftp.org |
| klonkino.no.ip.org |
| king.servemp3.com |
| herohero.no.ip.org |
| hacker20133.no.ip.org |
| googlechrome.servequake.com |
| g00gle.sytes.net |
| dzhacker15.no.ip.org |
| dz47.servehttp.com |
| dz47.myq.see.com |
| dz47.linkpc.net |
| dream7.no.ip.biz |
| diiimaria.zapto.org |
| desha10.no.ip.org |
| dataday3.no.ip.org |
| darkanony0501.no.ip.biz |
| cupidon.zapto.org |
| chrom.no.ip.info |
| bog5151.zapto.org |
| blackmind.redirectme.net |
| albertino.no.ip.info |
| adolf2013.sytes.net |
| adamdam.zapto.org |
参考链接
http://www.ic0de.org/archive/index.php/t-12134.html
https://www.fireeye.com/blog/threat-research/2013/08/njw0rm-brother-from-the-same-mother.html