吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5713|回复: 6
收起左侧

[转载] 一个Minecraft后门蠕虫的分析

  [复制链接]
wine毛毛 发表于 2021-4-6 00:22
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖完全为转载,出处&作者在末尾

收到了一个很有意思的蠕虫病毒样本, 专门感染minecraft服务器插件的, 来让我们康康代码


首先说如何防止:

·在所有插件jar内放置 .l_ignore 文件可以预防插件被感染

·添加 -Dfym_st=true 命令行参数可以阻止后门启动(但仍会感染你的插件)

·用host屏蔽 client.hostflow.eu 这个域名可以阻止后门连接服务器

·不要使用来历不明的插件


这个病毒作者利用这些病毒插件来破坏其他服务器, 做视频盈利

病毒作者的yt频道: https://www.youtube.com/channel/UCL3R3PtNwTzTxYdyBSiUyfw

建议去点个举报(笑


作者对代码进行了混淆, 不过和没混淆一样, 都不用过反混淆(

建议立即抛弃proguard投入zelix的怀抱(x

插件主类onEnable()里面被插入了病毒的初始化代码
1.png

就是第二行这个, 传的参数是plugins目录路径
转进ImageL10.a()
2.png

首先判断了系统,非windows不激活病毒
3.png
感染其他插件的逻辑
初始化了javaassist库, 遍历整个plugins目录, 挨个打开所有的jar文件

如果jar里含有.l_ignore文件则认为已经感染过并跳过, 否则开始执行感染

寻找继承了JavaPlugin的类也就是插件主类, 在onEnable()方法内插入病毒的初始化代码(没错就是第一张图那个), 生成[插件主类名+L10]这个类写入感染逻辑, 并将整个javaassist目录复制到被感染的jar里

4.png
后门启动的代码
如果没有设置全局变量fym_st, 则设置为true并加载位于javaassist.ws.a类的后门(避免后门的重复启动)
5.png
转进javaassist.ws.a

这个类继承了javassist.orgs.java_websocket.client.b(其实是org.java_websocket.client.WebSocketClient)

后门使用websocket协议进行通讯, 远程服务器的地址是http://client.hostflow.eu:5050/ws


连接后门服务器, 循环读取远程命令, 以一秒为间隔
下面有两个执行后门逻辑的方法

6.png
远程命令
这个方法实际上是public abstract void onMessage(String message), 即收到文本信息, 如果以$$exec$$开头, 则投递一个任务到bukkit的任务调度器

7.png
投递的任务的代码
任务代码很简单, 以后台身份执行所收到的命令

8.png
远程代码执行
这个方法实际上是 public void onMessage(ByteBuffer bytes), 即收到二进制数据

后门逻辑将所收到的数据使用javaassist加载为可运行的类, 并投递任务通过反射的方式执行远程代码中的execute方法



9.png
数据上报代码段1
收集最后一次启动的服务器日志, 通过访问amazon的ip服务获得服务器的ip, 尝试获取本机地址

10.png
数据上报代码段2
收集服务器ip, 端口, 版本, 玩家数量, 在线模式. 最大玩家数, 正版认证, 在线玩家列表, 拼装成消息并通过websocket发送到后门服务器


分析完毕, 后门代码就是这些了, 启动后感染全服务端的所有插件, 然后连接远程服务器并上报所感染的服务器信息, 然后这个人就顺着所上报的信息中的服务器地址和端口号进服, 利用远程命令和代码执行来搞破坏, 最后做成视频传youtube, 建议去点个举报(

不要使用来历不明的插件




作者:SakuraKooi
出处:https://www.bilibili.com/read/cv9651407


同时附上杀毒工具
蠕虫清理工具
https://wws.lanzouj.com/ikmq1lcbukj
密码:7y70
食用方法:
java -jar 工具.jar 目标插件文件夹路径
作者:RimuruChan
出处:https://www.bilibili.com/read/cv9651407的评论区

免费评分

参与人数 2吾爱币 +2 热心值 +2 收起 理由
lhy091700 + 1 + 1 我很赞同!
海之彼岸 + 1 + 1 鼓励转贴优秀软件安全工具和文档!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

a38758720 发表于 2021-4-7 10:50
我第一反应是用minecraft写的蠕虫- -
杨辣子 发表于 2021-4-7 15:33
szxszx01 发表于 2021-4-12 13:52
allenkoo 发表于 2021-4-13 14:37
分析得好!谢谢啊
Motu 发表于 2022-6-21 15:42
来学习一下,感谢大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 20:18

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表