蠕蟲病毒利用「永恆之藍」漏洞傳播單位區域網受威脅最大

最新 08-09

概述

日前，火絨安全團隊通過「火絨威脅情報系統」發現蠕蟲病毒「Worm/Sharp」正在全網傳播，其中在政府、企業、學校、醫院等單位的區域網具有非常強的傳播能力。該病毒通過「永恆之藍」漏洞、多個電腦常用埠傳播，入侵電腦後，會橫向攻擊區域網內所有電腦，同時還會在用戶電腦中留下後門病毒，用以執行更多惡意攻擊，如勒索病毒、挖礦病毒。

火絨工程師通過技術分析發現，該蠕蟲病毒會通過遠程伺服器和自身爬蟲功能收集區域網內的IP列表，然後對其中的多個服務埠發起攻擊，包括RPC服務(135埠)、SQLServer服務(1433埠)、FTP服務(21埠)，同時還會通過「永恆之藍」漏洞，入侵445埠，攻擊電腦。

由於該病毒針對企業不便關閉的多個常用埠進行攻擊，並且利用了區域網電腦中普遍未修復的「永恆之藍」漏洞，一旦任何一台電腦被該病毒感染，將意味著區域網內所有電腦都面臨被感染的風險，尤其給政企機構用戶造成極大威脅。

如果病毒成功入侵或攻擊埠，就會從遠程伺服器下載病毒代碼，進而橫向傳播給區域網內其他電腦。同時，該病毒還會在被感染電腦中留下後門病毒，以準備進行後續的惡意攻擊，不排除未來會向用戶電腦傳播更具威脅性病毒的可能性，例如勒索病毒等。

火絨工程師通過技術溯源發現，從2017年06月23日(甚至更早) 至今，該黑客組織一直使用該系列蠕蟲在全網進行大規模的信息收集。且一直保持對病毒的更新。

火絨"企業版"和"個人版"最新版均可徹底查殺蠕蟲病毒" Worm/Sharp "。同時，政府、企業、學校、醫院等受此類病毒威脅較大的區域網用戶，我們建議申請安裝"火絨企業版"，可有效防禦區域網內病毒屢殺不絕的難題。目前火絨免費提供三個月試用期，歡迎大家前來體驗試用。

詳細分析

今年上半年，」火絨終端威脅情報系統」檢測到Worm/Sharp變種在肆意傳播，Worm/Sharp或將捲土重來。該變種通過與C&C伺服器進行通訊以及內置的爬蟲功能獲取目標的IP地址及埠，對RPC服務(135埠)、SQLServer服務(1433埠)、FTP服務(21埠)進行爆破，使用永恆之藍漏洞對445埠進行入侵，如果入侵或爆破成功則執行腳本從C&C伺服器上下載初始樣本，初始樣本經過多重釋放，最終運行Worm/Sharp蠕蟲。除此之外還會判斷目標IP是否為代理伺服器，以及對從C&C伺服器獲取的路由器IP地址列表發起TCP連接以判斷7547埠的連通性，為下一步的攻擊做準備。

初始樣本執行流程，如下圖所示：

初始樣本執行流程

原始樣本(A22.exe)是經過PECompact加殼過的，在運行過程中會釋放lib32Waxe.exe，lib32Waxe.exe帶有混淆器在內存中會解壓縮.Net惡意代碼，並通過調用ComCallPreStub來執行這段.Net惡意代碼，之後進入Worm/Sharp核心代碼，Worm/Sharp有兩大核心功能。核心功能，如下圖所示：

病毒核心功能

初始樣本(A22.exe)由VB編寫並且加了PECompact殼，在執行過程中會釋放lib32waxe.exe，並創建服務WaxeSvc，主流程執行完後會啟動自刪除進程。初始樣本主流程，如下圖所示：

初始樣本執行流程

lib32Waxe.exe帶有混淆器在執行過程中解壓縮 Worm/Sharp蠕蟲代碼。載入二進位資源代碼，如下圖所示：

載入資源

載入的二進位資源經過zlib壓縮，zlib版本為1.2.3。解壓後可以獲得.Net惡意代碼。解壓縮代碼，如下圖所示：

解壓縮代碼

在最後使用CLR API 實現在C++中運行.Net惡意代碼，調用Clr.dll中未公開的函數ComCallPreStub運行Worm/Sharp蠕蟲。調用ComCallPreStub函數相關代碼，如下圖所示：

啟動蠕蟲代碼

該蠕蟲分為獲取被攻擊的IP列表和入侵攻擊兩部分功能，兩部分功能相互協作，不分先後，且兩部分功能中的每一個操作均為一個獨立線程。

(一) 獲取被攻擊的IP列表

1. 爬蟲功能

該蠕蟲內置了爬蟲功能，可以根據隨機字元串搜索、關鍵字搜索、與C&C伺服器通訊和Weblogs搜索來擴充自己的IP列表，為入侵攻擊功能提供數量龐大的主機列表。

1.1 通過搜索引擎搜索隨機字元串

該線程會維持一個list列表，當列表中的數量小於等於200時，調用Random_Sting_1函數隨機生成字元串，並作為GetList_FromYahooAndBing方法的參數，在Yahoo和Bing 搜索引擎中進行搜索。篩選出符合要求的，進行正則過濾，正則代碼如下[0-9]\.[0-9]\.[0-9]\.[0-9]\:[0-9]。

在List_Filter方法中會根據埠號對list中的目標主機進行分類，為入侵攻擊功能提供攻擊目標。

函數邏輯，如下圖所示：

搜索隨機字元串

1.2 通過搜索引擎搜索關鍵字擴充FTP列表

函數邏輯，如下圖所示：

ExpandFTPList()函數邏輯

在GetIPList_keyWordString_FromBingAndYahoo方法中定義了一個數組array，如下圖所示：

用於拼接的字元串數據

拼接了兩個字元串

String a ="domain:"+array[Random(array.Length)]+Random(10000).ToString

String b ="site::"+array[Random(array.Length)]+Random(10000).ToString

使用Bing搜索字元串a，添加符合要求的IP保存到list

使用雅虎搜索字元串b，添加符合要求的IP保存到list

UseIPList_FromBing回調使用Bing搜索」ip:」+list列表中的地址，篩選21埠的IP地址，調用AddFTPList回調將篩選後的IP加入FTP爆破的List中，用於入侵攻擊功能進行攻擊。

1.3 通過與C&C通訊更新相應的列表

Route_TCP_Connect函數從C&C伺服器（hxxp://tz.gxout.com/ip/route_tcp.aspx）獲取DES加密後的路由IP地址列表，DES解密的key=」 20110520」,IV=。解密之後發起TCP連接，判斷7547埠是否存活，如果存活則添加到相應的List中。

TCP_Connect函數與上述類似，只是請求的地址有所不同，通訊地址為 (hxxp://tz.gxout.com/ip/tcp.aspx)，主要篩選135、445、1433埠的IP地址。整體邏輯，如下圖所示：

與C&C伺服器通訊邏輯

1.4 通過weblogs.com搜集信息擴充1433埠IP列表

Weblogs搜集信息邏輯

2. 執行遠程惡意代碼

通過訪問黑客的C&C伺服器（ftp:// in.siolio.com），下載FTP上的exe並執行。該功能可以作為一個後門功能，便於後續攻擊的展開。相關代碼，如下圖所示：

下載可執行文件並執行

FTP賬號及密碼，如下圖所示：

FTP賬號密碼

3. 修改註冊表關閉TCP/IP的連接數限制

修改註冊表，如下圖所示：

修改連接數限制

(二) 入侵攻擊功能

蠕蟲會通過與C&C伺服器(hxxp://api.gxout.com/ip/google.aspx)進行通訊獲取加密後的IP列表，解密過濾後，加入相應的List中。入侵攻擊功能分為以下6個部分：FTP爆破、135埠爆破、445埠入侵、1433埠爆破、7547埠回連、代理伺服器檢測，並且當斷網的情況下，會自動遍歷內網IP對內網的其他伺服器進行爆破和漏洞攻擊。功能線程，如下圖所示：

功能線程

1. FTP爆破

獲取被攻擊的IP列表功能中已經對FTP的列表進行了擴充，所以在入侵攻擊功能中直接開始爆破，內置的字典(部分)，如下圖所示：

登錄信息字典

如果爆破成功則向目標IP上傳測試文件，對上傳路徑進行Http請求，刪除上傳的文件，比較內容，相同則返回全路徑，之後將網站的域名(ip地址)+ftp用戶名+ftp密碼+上傳文件的完整路徑進行URL編碼發送到C&C伺服器(hxxp://tz.gxout.com/ftp/set.aspx)上。程序流程，如下圖所示：

測試和發送流程

2. 135埠爆破

使用的賬號為Administrator，密碼字典，如下圖所示：

密碼字典

爆破成功之後，會在目標伺服器生成批處理文件並執行最終執行的批處理，如下圖所示：

批處理內容

3. 445埠入侵

該蠕蟲除了爆破功能之外還會通過漏洞進行入侵，使用永恆之藍對伺服器進行攻擊。部分Payload，如下圖所示：