警惕！新型RDP爆破蠕蟲Morto來襲

最新 04-04

近期，深信服EDR安全團隊接到多個企業用戶反饋，其企業內網近百台計算機在使用過程中會突然跳出到windows登錄界面，且再次登錄就提示遠程桌面繁忙，同時深信服防火牆檢測到內網存在大量的RDP訪問請求。

這次蠕蟲病毒事件嚴重阻礙到企業辦公，安全團隊緊急介入，發現這是Morto蠕蟲病毒的最新變種，它通過爆破內網、外網主機的RDP密碼，登陸到受害主機，進行自我複製並運行，來實現病毒的傳播。

0x01 攻擊場景

病毒的攻擊流程如下：

母體（Morto.exe）

1. 將偽裝clb.dll釋放到C:Windows，這樣就會比C:WindowsSystem32下的合法clb.dll先載入（Windows尋找文件的特性，根目錄的先被讀取）

2. 寫入惡意代碼HKLMSystemWPAmd

3-4. 運行regedit，regedit會自動載入惡意的clb.dll

Loader（clb.dll）

5.將自己備份一份cache.txt到C:Windowsoffline web pages下

6.運行md下的惡意代碼

Payload

7.釋放\tsclienta\%smoto

8.釋放\tsclientaa.dll和\tsclienta
.reg

9.DNS請求和進行RDP爆破

10.修改註冊表

11.將cache.txt註冊為服務

淪陷主機上已經找不到母體和Loader了（應該病毒進行了自刪除），但是cache.txt和payload還遺留在主機上，我們從這兩個文件入手分析：

0x02 技術分析

cache.txt

cache.txt打開後發現其其實是一個DLL（clb.dll的克隆，即Loader），我們通過解密相關的函數地址，得到對應的函數列表，如下圖所示：

解密出來的函數如下所示：

Loader

1. cache.txt運行前首先做一個判斷，若程序不是通過rundll32.exe載入運行的，則嘗試讀取用戶電腦系統目錄下的winhlp32.exe或write.exe這兩個程序（檢測運行環境是否為沙箱），如果用戶電腦中存在這兩個文件，才進行後面的操作，如下圖所示：

2. 驗證不是沙箱環境後，cache.txt開始讀取惡意註冊表項的值（payload），並載入運行，如下圖所示：

相應的惡意註冊表鍵值為：

HKEY_LOCAL_MACHINESYSTEMWPA

名稱：md

裡面包含一大串二進位數據，通過內存解密之後，發現其實也是一個dll，主要的惡意操作也在其中，如下圖所示：

3. 為了進行傳播，payload會將自己複製一份到\tsclienta\%smoto，Loader後續會從\tsclienta\%smoto讀取惡意代碼：

Payload

payload開始運行後，會對下面這些域名的DNS發起請求，檢索可下載的組件信息，如下圖所示：

相關的域名地址：

wht%d.jifr.net

dos%d.jifr.net

2. 然後payload對HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU進行修改：

RunMRU註冊表項的作用是存儲用戶最近運行的命令，payload修改它的目的是為了清除記錄，防止惡意行為被發現。

3. 修改註冊表項HELMCurrentControlSetControlSessin ManagerPendingFileRenameOperations的值為病毒母體cache.txt，如下圖所示：

修改PendingFileRenameOperations鍵值的作用是使cache.txt開機自動重命名為C:WindowsTemp
tshrui.dll，這其中跟上面一樣的技術，系統合法的ntshrui.dll在C:WindowsSystem32目錄下，由於cache.txt開機自動偽裝成了Temp
tshrui.dll（Temp目錄下的ntshrui.dll先被載入），導致cache.txt開機自動被載入。