6

"powerghost"病毒分析 - FreeBuf网络安全行业门户

 2 years ago
source link: https://www.freebuf.com/articles/endpoint/319817.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
neoserver,ios ssh client

"powerghost"病毒分析 - FreeBuf网络安全行业门户 限时体验

编组备份 4

网页灯泡

主站
漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全
头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
行业专区
政 府
CNCERT CNNVD
登录 注册
试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
"powerghost"病毒分析
"powerghost"病毒分析
lesssafe 2022-01-15 15:46:40 187814

早在21年5月份左右我们已经发现"powerghost"病毒,并进行了分析,该病毒过多阶下载执行、内网横移渗透,最终可实现DDOS攻击、挖矿、等类型攻击,整体流程如下:

1642231129_61e275593e5a0abce45a6.png!small?1642231131797

发现异常行为

分析流量时发现内网部分终端在某站点下载powershell脚本,目的地址是国外地址,同时在威胁情报上查看到地址已被标记为恶意地址,可以确定是恶意脚本。

1642231233_61e275c122e97d64070f6.png!small?1642231235625

1642231261_61e275ddc63ec19869cb5.png!small?1642231264413

病毒样本捕获

在捕获恶意时,通过查看响应包发现响应包中的内容不全,无法完整获取病毒样本。通过请求日志可以获取到病毒样本下载地址为http://111.90.140.59:443/vercheck.ps1

1642231343_61e2762f928066d79c99a.png!small?1642231346249

当直接访问病毒样本下载地址时显示404,通过以往经验大致可以判断出攻击者做了一些限制。仔细观察请求数据包,发现请求数据包中不存在UA。

1642231375_61e2764fe76be71d4693f.png!small?1642231378490

使用BP抓包更改成和流量中相同的请求包,最终拿到病毒样本。

1642231400_61e276688aae2a55cb4d7.png!small?1642231403237

病毒样本解密

拿到本都样本后,代码做了混淆,分析发现有split的分割运算符,通过做解密得到hex编码。

1642231547_61e276fb0735bd6ceb3ff.png!small?1642231552455

通过hex解码后得到病毒代码,看到这个病毒代码有点像poweshell的代码。

分析发现代码使用了DeflateStream实现数据压缩,通过在线解压缩网站(https://www.multiutil.com/deflate-to-text-decompress/)实现对压缩代码还原。

1642231623_61e27747e878e47b7c029.png!small?1642231626609

病毒样本分析

判断当前运行环境,

1642231667_61e27773ebfe7303fc288.png!small?1642231670543

连接C2服务器,

1642231686_61e27786a56be990ceb03.png!small?1642231689806

依次为关闭关闭defender实时保护功能,关闭defender杀毒软件,关闭defender行为监控,关闭defender文件程序扫描,关闭defender进程实时扫描。

1642231706_61e2779a8668adb08a156.png!small?1642231709109

开启rpc等相关服务,

1642231749_61e277c5caa00a436a9ca.png!small?1642231752358

判断是否做了持久化的操作,

1642231765_61e277d53b913fbe88c38.png!small?1642231768034

从owa.conf1g.com和box.conf1g.com中随机选取一个域名进行使用1.1.1.1和8.8.8.8进行解析并返回对应的ip地址。如果没有解析成功,就从域名中随机挑选一个作为连接地址,如果解析成功:

1642231790_61e277ee030fb6bf36810.png!small?1642231792919

如果已经存在持久化,并且从服务器下载相关版本号与本地进行对比,

1642231812_61e27804c2bcd9151dded.png!small?1642231815752

根据对应的系统版本,加载不同shellcode。

1642231827_61e27813d7fb3b98f8245.png!small?1642231830754

下载资源p32/64.ps1(同样该脚本进行代码混淆、压缩加密)体积约为1.8MB,会携带三个核心payload字符串。主体代码进行本地策略修改、持久化设置、核心字符串payload解析调用。

1642232100_61e27924d44ddca6c8771.png!small?1642232103614

本地特定端口查询以及系统日志任务关闭。

1642232157_61e2795d6b36f609023ec.png!small?1642232160326

计划任务设置。设置条件包括三个,任一即可:系统启动、每20分钟、每30分钟。

1642232207_61e2798f66abb2120fdea.png!small?1642232209986

核心组件模块payload资源调用,设置运行相关参数。可知当前版本为2.7。

1642232240_61e279b07d3af9d0eb7f6.png!small?1642232243176

手动解析$miiiiii、$fffffff、 $ssssssss三个资源,其功能如下。

$miiiiii

Mimikatz,横移组件,用于网内密码爬取。

$fffffff

内存反射加载注入组件,清除老版本木马组件,下载执行最终攻击木马。

$ssssssss

计划任务创建组件,下载执行。提供后续下载所用C&C。

通过WMI事件过滤机制实现持久化驻留代码如下。

1642232328_61e27a08a694229d9c798.png!small?1642232331233

WMI触发执行代码如下。开启RPC远程功能,为横移渗透铺垫。然后发起远程TCP连接请求。

1642232357_61e27a25bc3339988cc05.png!small?1642232360335

解密的$ssssssss可见后续资源交互URL。hxxp://185.128.41.90/vercheck.ps1。

1642232377_61e27a399cebd4b2a3cfb.png!small?1642232380286

停止与任何目的地建立到TCP / 3333,TCP / 5555,TCP / 7777和TCP / 14444的连接的每个进程。疑似干掉其他挖矿进程。

1642232405_61e27a5594af0b55b4bd3.png!small?1642232408244

用于横移登录的实现函数test-ip如下。

1642232422_61e27a66e05cce0988ec4.png!small?1642232425546

在渗透组件程序运行5小时(18000秒)后,收集登录凭据信息如下。

1642232445_61e27a7d03421bc9de47a.png!small?1642232447870

IOC信息

http://111.90.140.59:443/vercheck.ps1

http://111.90.140.59:443/w/p32.ps1

http://111.90.140.59:443/w/p64.ps1

http://185.128.41.90/vercheck.ps1

185.128.41.90

111.90.140.59

owa.conf1g.com

box.conf1g.com

本文作者:lesssafe, 转载请注明来自FreeBuf.COM

# 木马 # 病毒分析 # 灰产圈

report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK