首页
社区
课程
招聘
[原创]从Web蔓延到内网,BuleHero最新变种来袭
发表于: 2019-9-16 10:18 4989

[原创]从Web蔓延到内网,BuleHero最新变种来袭

2019-9-16 10:18
4989

近日,深信服防火墙监测到大量设备请求恶意域名cb.fuckingmy.life,该域名注册于今年8月,经深信服安全团队排查,确认为BuleHero木马最新变种的C&C服务器。安全专家对捕获到的木马文件进行了详细分析,该变种行为与今年6月份的变种行为相似:去掉了LNK模块,更换了C&C域名和一些攻击组件的名字,但比较特别的是,该变种开始通过Web自动化攻击工具进行传播。

从深信服防火墙上的攻击日志上来看,拦截了大量的命令注入攻击,分别利用以下2种漏洞进行攻击:structs2远程命令执行漏洞、thinkphp5.X命令执行漏洞。

 

方式1,通过structs2远程命令执行漏洞下载执行病毒母体:http://cb.fuckingmy.life/download.exe。

 

 方式2,通过thinkphp5.X命令执行下载执行病毒母体:http://fid.hognoob.se/download.exe。


详细分析

首先,利用漏洞创建一句话木马hydra.php。

然后,通过该木马下载运行病毒母体download.exe。

从日志的数量以及特征来看,可以判断出这些Web攻击是一个自动化的过程,也就是说BuleHero正利用一些Web漏洞自动化工具进行传播。

获取到病毒样本download.exe后,发现该样本的编译时间为8月26号,是最近编译的。病毒母体名字还是延用着4月份版本的download.exe。

BuleHero家族的病毒相关信息很容易获取。因为BuleHero运行后都会先从C&C服务器上读取配置信息,所以,只需解析该配置文件cfg.ini,就能大致提取出关键信息。关键信息见下图:

 

病毒流程图

[1] 病毒母体download.exe释放随机名后门并注册成服务WervPoxySvc,与C&C服务器46.178.218.80进行通信。

[2] 从cb.fuckingmy.life下载工具包naplmhost.exe并运行。

[3] 释放Xmrig挖矿程序开始挖矿。

[4] 释放传播攻击模块blwljzt.exe并注册成服务eunttzfwu开始攻击。

[5] 释放mimikatz、TCP扫描器、永恒之蓝工具等组件进行传播攻击。

[6] 篡改注册表关闭防火墙、Defender、Windows自更新等服务。


病毒母体download.exe

病毒母体使用MFC编写,并加了UPX壳。

 

病毒运行后,主要现象为挖矿、后门通信,以及横向传播。

 

后门模块rxtrust.exe

自复制到system32目录的随机名文件,并注册成WervPoxySvc服务实现开机自启动,然后与C&C服务器46.173.217.80 : 51888进行通信,目前该C&C服务器端口已关闭。

 


传播模块blwljzt.exe

传播模块首先将自身注册成服务eunttzfwu,然后释放传播工具到C:\Windows\ciztbfwfu,为3个文件夹:Corporate、tbbsgbzgt、UnattendGC,依次包含抓密码工具、TCP扫描工具、永恒之蓝攻击工具。

 

vfshost.exe为mimikatz抓密码工具,bulehero会通过抓取主机密码实现内网横向传播。

 

fttadbnnk、ifvtknkif分别为ip扫描器和端口扫描器,目的是用来获取开启了445端口的主机IP。

 

UnattendGC存放的则是我们熟悉的永恒之蓝攻击工具包。

 


挖矿模块cjltps.exe

挖矿模块使用的是Xmrig程序,挖矿流量如下,矿池服务器IP为46.173.217.80。

 

该IP关联着如下域名,这些均是BuleHero使用的域名。

 


解决方案

深信服EDR产品、下一代防火墙及安全感知平台等安全产品均具备病毒检测能力,部署相关产品用户可进行病毒检测,如图所示:


深信服安全团队提醒广大用户,注意日常防范措施:

1、及时给电脑打补丁,修复漏洞。

2、对重要的数据文件定期进行非本地备份。

3、深信服防火墙客户,建议升级到AF805版本,并开启人工智能引擎Save,以达到最好的防御效果。

4、使用深信服安全产品,接入安全云脑,使用云查服务可以即时检测防御新威胁。

5、深信服推出安全运营服务,通过以“人机共智”的服务模式帮助用户快速扩展安全能力,针对此类威胁安全运营服务提供设备安全设备策略检查、安全威胁检查、相关漏洞检查等服务,确保第一时间检测风险以及更新策略,防范此类威胁。

最后,建议企业对全网进行一次安全检查和杀毒扫描,加强防护工作。推荐使用深信服安全感知+防火墙+EDR,对内网进行感知、查杀和防护。


IOC

298DF81D6D317BAEC14C0E9E19F591F4

FC5B65CF9B456E0FABA5F6F5A69EF462

FF2A7868A7B3CB39235D55517EF750B7

4691497582A9C295DAC1BA5E29C5F0C7

46.173.217.80

cb.fuckingmy.life

a45.bulehero.in


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (2)
雪    币: 300
活跃值: (2457)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
mark
2019-9-16 18:24
0
雪    币: 3496
活跃值: (749)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
谢谢分享,这个一句话木马咋会被别人发现的啊?
2019-9-18 05:45
0
游客
登录 | 注册 方可回帖
返回
//