原先也没分析过蠕虫的样本，冲浪的时候看到了关于BuleHero蠕虫的介绍，感觉蛮有意思的，分析分析。

主体文件使用upx壳，直接使用火绒剑来观察其主要行为。

恶意程序的自我复制

复制完成后自我删除

使用cmd命令来运行复制的恶意程序

通过netsh.exe和cmd.exe来执行以下操作以便修改防火墙规则

恶意程序释放PE文件至C:\Windows\ueezeneik\

通过MD5来对释放的文件进行查找，得知

vfshost.exe是一个获取登录时的用户名及密码的工具。

端口扫描工具，只是改了改名字而已

永恒之蓝漏洞包

利用ciyfmv.exe来发送挖矿木马矿池登录请求

挖矿木马的配置文件中显示了矿池地址

远控木马的上线包及所在位置

基本上看到这里，恶意程序的逻辑大概清楚了。复制自身，删除自身执行复制文件，释放PE文件，执行挖矿及远控木马。

在IDA中也看到了相应的字符串，可以与火绒剑释放PE文件相呼应。

大量的3389端口扫描行为

Wireshark抓包可以看到挖矿木马及远控木马发送的上线包

远控木马是ceeinject家族的，上线包发送加密后的系统信息，解密之后的上线包是这样的

ceeinject家族加密方式是-0x7a^0x19，以前分析过，没撒特殊的远控木马。

此漏洞会影响Windows上的Apache Tomcat 7.0.0至7.0.79。它可以将恶意的jsp文件上传至服务器。
该漏洞有3种使用方法，此处使用的是 shell.jsp%20

解析之后，应该下载其他的攻击荷载。

此漏洞影响的是Struts 2.3.5 – Struts 2.3.31 Struts 2.5 – Struts 2.5.10。Apache Struts是一个免费的开源框架，用于构建Java Web应用程序。攻击者在“Content-Type”标头中构建恶意指令，使得恶意指令直接在服务器中运行。

此漏洞允许未经身份验证的攻击者通过T3协议访问网络，从而破坏在端口7001上运行的Oracle WebLogic Server。

此漏洞的原因是，ThinkPHP 5框架的底层未严格过滤控制器名称，这使攻击者可以通过URL在ThinkPHP框架内调用敏感功能，从而导致下载和安装恶意程序。它试图通过从'cmd'运行PowerShell来下载并执行恶意程序。

此漏洞由于WebLogic的'wls9_async'和'wls-wsat'组件的反序列化输入信息，攻击者可以利用它来执行任意命令。

Drupal 7.x和8.x的多个子系统中存在一个远程执行代码漏洞。它允许攻击者将恶意负载注入表单结构以执行任意代码。

此漏洞存在于DataImportHandler模块中，该模块是用于从数据库或其他来源导入数据的通用模块。该模块的整个DIH配置可以来自外部请求中包含的dataConfig参数。由于DIH配置可以包含脚本，因此此参数存在安全风险。攻击者可以利用此漏洞通过包含精心设计的dataConfig参数的恶意请求来导致任意代码执行。

BuleHero检查以下PHP模块路径（如果存在），然后将其替换为嵌入式后门，从而使攻击者可以在服务器上执行任何命令。

原本只是瞎看看，分析着就感觉很有意思，这个样本的一般行为，从火绒剑里就可以看个七八分。而样本里的漏洞利用基本都是针对web服务器的，看到的时候还在想，怎么就知道样本利用了这些漏洞呢？

而后想起漏洞如果明显的网络行为，可以根据它的网络行为来编写对应的规则，然后利用引擎来解析网络行为，从而匹配对应的漏洞。

样本密码 infected

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！