西方紅玫瑰和辣條先生黑產組織深度分析報告

新聞 09-13

*本文原創作者：天際友盟，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載。

1. 報告摘要

近期，神州網雲依靠高級威脅檢測引擎並結合天際友盟的威脅情報，精確發現了多起高級威脅組織的攻擊，通過快速有效的一鍵溯源確定了攻擊行為及影響。

Struts2的安全漏洞從2010年開始陸續被披露存在遠程代碼執行漏洞，從2010年的S2-005、S2-009、S2-013 S2-016、S2-019、S2-020、S2-032、S2-037、devMode、及2017年3月初Struts2披露的S045漏洞，每一次的漏洞爆發隨後互聯網都會出現Struts2掃描攻擊活動。

近期發現並確認了兩個威脅組織利用Struts2的安全漏洞攻擊行為，下載並執行不同的木馬程序進行攻擊獲利。

「西方紅玫瑰」利用一個位於歐洲的ISP網路進行Struts2攻擊，主要針對Linux平台來下載執行比特幣挖礦程序進行獲利。

「辣條先生」至少擁有5年左右的黑產活動經歷，利用中國江西電信網路長期進行各種威脅活動。本次活動利用Struts2漏洞進行攻擊，主要針對Windows平台下載安裝DDoS木馬，並通過控制的大量服務端來進行DDoS攻擊。

2. 西方紅玫瑰挖礦組織

通過網鏡高級威脅檢測系統自身的檢測能力結合威脅情報發現了俄羅斯&保加利亞(備註：IP區域地址庫多個源不統一)的一個WestVPS運營商的多個IP地址Struts2-045攻擊行為，結合與情報分析、樣本分析判斷為挖礦攻擊行為。根據該組織的特點我們命名次組織為「西方紅玫瑰」組織。該組織通過Struts2-045漏洞批量對互聯網的WEB應用伺服器發起攻擊，並下載惡意腳本執行下載進行比特幣挖礦程序，主要感染Linux伺服器。

2.1. IP 5.188.10.250俄羅斯&保加利亞的溯源分析

檢測到多起惡意IP地址頻繁對某數據中心發起Struts2-045攻擊行為。

網鏡高級威脅檢測系統檢測到Struts2-045攻擊

針對攻擊IP地址5.188.10.250 進行溯源分析

通過一鍵點擊惡意IP進行溯源分析發現此IP地址為掃描器類型，且IP地址的信譽值較高，證明長期活躍還在對互聯網進行惡意掃描活動。

Struts2-045攻擊原始數據包

分析攻擊數據包，發現Struts2漏洞攻擊的命令利用wget下載一個文件並執行，地址：http://91.230.47.40/common/logo.jpg下載下來logo.jpg文件是偽裝成圖片的bash腳本，內容如下：

對於logo.jpg腳本文件分析如下：

logo.jpg是在linux環境下執行一系列命令，前面ps一些命令強制殺掉一些進程，ps -fe|grep echo $id2|grep -v grep—檢查eulyjbcfew進程是否存在，if [ $? -ne 0 ]—-如果沒有找到自己的木馬進程，即不等於0，則執行下載配置文件kworker.conf。根據cpu 是否支持aes加密指令集下載不同的木馬程序，即if [ $? -ne 1 ]—並且不等於1則下載kworker文件，若不等於0也不不等於1，則下載kworker_na文件為木馬添加執行許可權並執行，最後判斷有幾個物理CPU核，充分利用受害者的伺服器CPU資源。

下載的文件列表

Kworker.conf內容

2.2. kworker樣本分析

kworker樣本信息：

通過各類殺軟的結果可以認定此樣本為比特幣挖礦客戶端，見下圖：

通過礦機的類型進行比對此類型應該屬於第一種，利用主機CPU資源進行挖礦，這從樣本的分析證實了此行為。

挖礦樣本運行過程如下：

通過調用挖礦客戶端以url（json格式）作為參數與礦池通信並登記。當礦池與挖礦客戶端連接以後，挖礦客戶端向礦池請求任務訂閱，礦池給挖礦客戶端返回任務。當挖礦客戶端找到share節點時，即可向礦池提交任務。並且發現樣本有上傳受害者伺服器信息的嫌疑。

詳細分析：

1) 礦機採用stratum協議是目前最常用的礦機和礦池之間的TCP協議進行通信

2) 礦機通過指定url與礦池連接。

3) 當礦機啟動後首相向礦池訂閱任務，然後礦池立即以mining.notify形式返回訂閱號

4) 當礦機在礦池中登記後，礦池就會立即以mining.notify返回上述訂閱的任務。

5) 礦機登錄：礦機登錄前必須進行上述步驟的初始化連接否則礦機接不到任務.

根據kworker.conf的內容可以進行判定疑似礦池地址：91.121.2.76:80

6) 當礦機找到合法的share後就會就會進行結果的提交

7) 上傳用戶信息

2.3. kworker_na樣本分析

通過各類殺軟的結果可以認定此樣本為比特幣挖礦客戶端，與kworker樣本的結果一直，見下圖：

通過對惡意腳本文件中的if-else的內容判斷條件的分析。

對kworker_na樣本分析，可以確定kworker_na與kworker作用相同，不同點在於Kworker_na 無符號調試信息，所示大小比kworker 文件小。

2.4. IP 5.188.10.104的溯源分析

通過網鏡高級威脅檢測系統利用相同的方法還發現在5.188.10.x網段還有一個IP地址5.108.10.104也在進行相同的攻擊，同樣利用Struts2-045漏洞，執行相同的攻擊命令，傳播相同的挖礦樣本。所以我們把這兩個IP攻擊歸屬為一個組織。

網鏡高級威脅檢測系統檢測到5.108.10.104同樣進行Struts2-045攻擊

5.188.10.104 利用Struts2-045漏洞攻擊數據包

從攻擊請求的內容上看，跟5.188.10.104攻擊行為沒有什麼區別，也是下載一個相同URL地址的logo.jpg文件，所以判斷兩個地址的攻擊行為一致，且是相同的組織所為。

3. 辣條先生DDoS組織

通過某節點神州網雲網鏡高級威脅檢測系統自身的檢測能力、天際友盟威脅情報能力發現了多個IP地址的Struts2-045行為，結合與情報分析、樣本分析判斷為DDoS行為。根據該組織的C2通信域名特點我們命名此組織為「辣條先生」組織。該組織通過Struts2-045漏洞批量對互聯網的WEB應用伺服器發起攻擊，並下載惡意腳本進行DDoS木馬植入，主要感染Windows伺服器。

3.1. IP 111.73.45.188的溯源分析

通過網鏡高級威脅檢測系統的高級惡意行為檢測及情報匹配檢測到多起惡意IP地址頻繁對某數據中心發起Struts2-045攻擊行為。

網鏡高級威脅檢測系統檢測到111.73.45.188 的Struts2-045攻擊

針對攻擊IP地址111.73.45.188 進行溯源分析

通過一鍵點擊惡意IP進行溯源分析，發現此IP地址惡意行為包含掃描器及惡意軟體節點等多個威脅類型。且IP地址的信譽值較高，證明長期活躍還在對互聯網進行惡意活動。

Struts2-045攻擊原始數據包

執行的惡意命令代碼如下：

通過vbscript代碼實現文件下載功能，主要是使用了ADODB.Stream來執行如下行為：創建vbs下載者下載—保存到c盤，調用cscript運行vbs下載者，然後刪除自身。網址http://111.73.45.188:52875打開以後，界面如下：發現Server.exe點擊量達到了735次，證明已經被下載安裝了735次。

攻擊者的木馬文件列表

此下載者木馬首先通過server.exe隱藏自身進程為conime.exe，然後通過指定連接下載2022.exe、3597.exe及7021.exe三個DdoS攻擊的木馬服務端。接下來可以通過與C2進行通信，根據接收到的黑客命令進行拒絕式服務攻擊。

3.2. 下載者木馬server.exe樣本分析

通過溯源平台關聯分析

利用威脅情報平台溯源能力對樣本（d738afeb7a1d8bc65ce4726ed28c22b4）進行溯源分析，發行多家殺毒廠商認定樣本為木馬下載器，並且通過可視化的關聯出樣本的惡意網路行為。

通過逆向分析木馬下載者的關鍵文件行為如下：

· 釋放可執行文件：C:WINDOWSpjuezconime.exe

· 複製自身文件內容到：C:WINDOWSpjuezconime.exe

· 釋放啟動文件 conime.exe

· 退出自身進程

如果當前系統沒有載入過server.exe則會先創建server.exe此進程。

此處通過進行strcmpi（）函數進行比對當前載入的文件是否conime.exe 。

如果當前調試文件不是：C:Windowspjuezconime.exe則接下來在此路徑下的進行文件創建。

通過文件監控觀察server.exe的進程樹可知：

Server.exe文件創建進程載入自身，之後又創建新文件conime.exe進程（C:WINDOWSpjuezconime.exe）。最後進程server.exe退出真正的木馬下載 conime.exe 運行。

真正的木馬下載者conime.exe

通過溯源平台關聯分析

利用威脅情報平台溯源能力對樣本（19e9c14bdd3a26a7e7463d1837c6f0ba）進行溯源分析，發行多家殺毒廠商認定樣本為木馬下載器，並且通過可視化的關聯出樣本的惡意網路行為。

關鍵行為分析：

1) 傳遞受害者MAC地址

與（http://a1123448049.host3v.net 域名IP地址168.235.251.223）建立網路連接傳送主機mac地址（存在唯一性）與時時進程數量。目的是建立受害者信息庫，並執行後續的惡意操作。

2) 嘗試連接111.73.45.188伺服器下載惡意程序

當與111.73.45.188:52875連接後進行下載baidu.gif文件，之後再下載2202.exe 3597.exe、7012.exe惡意程序。

網路行為監控發現惡意程序的網路行為：

3) 保存下載惡意文件

HTTP請求通過InternetOpenurl(//img.ifuun.com/getimg.php?url=)函數打開連接，利用函數InternetReadFile()寫入本地 C:UsersHello_WorldAppDataLocalTemp臨時目錄等待運行調用。

3.3. DDoS攻擊樣本分析

1) 樣本2022.exe

2) 樣本2597.exe

3) 樣本7021.exe

通過對上述三個樣本（2022.exe、3597.exe、7021.exe）分析認定三個樣本都是DDoS攻擊木馬，針對Windows平台創建自動啟動，獲取操作系統信息上傳到C2伺服器；並等待黑客組織的攻擊指令對目標網站及伺服器發起DDoS攻擊。

拷貝自身文件到C:WINDOWS目錄並更改名稱為taskhost.exe來迷惑用戶

複製操作

寫入註冊表實現開機自動啟動

創建互斥量信息並成設置C2連接地址

比對操作系統版本信息，判斷操作系統版本

獲取系統語言信息

獲取CPU信息

獲取信息發送到C2伺服器

創建線程等待黑客指令進行攻擊：

在查看樣本資源節帶有PE文件，利用工具轉出來後，MD5比較和樣本釋放在C:Documents And SettingAdministratorLocal SettingsTemp路徑釋放的多個名稱為XXXXXIE_FILE.exe的MFC文件一樣。

資源中隱藏有PE文件

比對MD5發現臨時文件夾這兩個文件的MD5地址1c80d9201868e4b9c585db4eec4d0021是相同的。

設置DDoS C2地址

將資源節中的Bin數據釋放出來，創建MFC文件來運行發起DDoS攻擊。創建多個mfc格式文件後，等待接收黑客指令，發動攻擊。函數sub_403624跟進後是與伺服器域名為：www.latiaorj.org的進行TCP連接。

進行TCPMutilConnect攻擊

進行WebDownFileFlood2攻擊操作

進行TCP sendData攻擊

進行TcpConnect攻擊

下面是虛擬機運行7012.exe後驗證攻擊的截圖，多次發送大量網路向數據包，且數據長度為0。

樣本 3597.exe和7012.exe代碼結構是和2022.exe一樣，且樣本行為一致，只是連接的伺服器和自我複製後的名稱不。3579.exe連接的域名為www.lationwz.org釋放nvvdsync.exe，7012.exe連接的域名是qiangzairouji.f3322.org，釋放 quefhost.exe如下圖所示：

3579.exe連接的域名：www.latiaowz.org:3597

3579釋放的exe文件名

7012.exe連接的域名：qiangzhirouji.f3322.org:7012

7012釋放的exe文件名

3.4. 辣條先生溯源分析

根據發現的DDoS的C2域名latiaorj.org，通過Whois反查後發現以下信息：郵箱：1123448049@qq.com 聯繫人：caihongqiang，通過威脅情報平台溯源發現確實與多個惡意程序有關聯。

根據獲取的域名的註冊郵件地址1123448049@qq.com通過對支付寶賬號進行驗證，得知真實名字叫蔡洪強。

結合在server.exe出現的域名：http://a1123448049.host3v.net懷疑出現的1123448049為QQ號，搜索QQ號發現昵稱為辣條：

利用百度搜索QQ號得到信息，可以看到該作者從2013開始一直活躍在各大黑客論壇，並一直研究木馬遠控相關的技術。由此可見蔡洪強利用江西111.73.45.188伺服器網路對互聯網Windows平台發起Struts2-045 Web攻擊，並在受害者對伺服器種植DDoS木馬，利用控制的大量DDoS服務端發起DDoS攻擊。

4. 安全建議

互聯網中充斥著大量的網路攻擊行為，數據中心及內部網路中每天產生大量的安全告警及威脅活動。可以依靠先進的威脅檢測系統並結合威脅情報來進行精確的威脅發現及防禦威脅攻擊。

針對Struts2-045的修復建議：

檢測方式查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar ，如果這個版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞，更新至Strusts2.3.32或者Strusts2.5.10.1，或使用第三方的防護設備進行防護。

臨時解決方案：

刪除commons-fileupload-x.x.x.jar文件（會造成上傳功能不可用）。

5. 指示器（IOC）

事件中涉及的ip或者域名有：