歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

病毒團伙利用phpStudy RCE漏洞批量抓雞,下發四個遠控木馬

來源:本站整理 作者:佚名 時間:2019-10-06 TAG: 我要投稿

一、簡介
近期,騰訊安全御見威脅情報中心監測到團伙利用phpStudy RCE(遠程代碼執行)漏洞批量抓“肉雞”,該團伙手握四大遠控木馬:Nitol、大灰狼、魑魅魍魎、Gh0st,入侵后完全控制采用phpStudy搭建的服務器,并下發DDoS攻擊指令,對目標計算機進行網絡攻擊。
監測數據表明,受該病毒團伙影響的受害服務器數量正在增加,受害服務器主要位于廣東(24.9%)、四川(8.1%)、山東(6.8%)。有多個企業租用的云服務器因phpStudy組件漏洞被入侵控制。

二、詳細分析
黑客入侵成功后下發后門

Nitol遠控:fuck.exe、0.exe
木馬除了會上報電腦基本信息外,還會上報用戶當前的活動進程,比如游戲進程、殺軟進程,以便攻擊者更了解受害機器當前活動情況。

木馬內置三個C&C地址,明文存放一個: tmh5201314520344837.top,堆棧串存放一個: qlsb.f3322.net

加密存放一個:114.67.65.156:8081,仍然使用Nitol經典的加密方式base64+凱撒移位算法

該變種與同類家族相比缺少了LPK劫持功能,也許是由于該技術在高版本(Vista及以上)中已經不奏效,攻擊者去掉了該功能, 同類家族中的資源中會包含lpk劫持模塊。

只保留的IPC感染功能

該版本Nitol協議值未發生變化

大灰狼遠控:360.exe
入口處下載大灰狼核心dll,該dll地址用base64+凱撒移位+RC4加密存放,密匙“Getong538”

解密dll地址后開始下載

樣本存放在C:\ProgramFiles\AppPatch\NetSyst96.dll,下載回來的dll同樣使用了RC4解密,密匙“Kother599”。

解密后加載Netsyst96,并調用導出函數

DllFuUpgradrs第三個參數,包含了大灰狼的上線信息,同樣被加密(base64+凱撒以為+RC4)存放,密匙“Strong798”

解密后可以看到包含了多種上線方式,ip138上線方式,aizhan上線,C&C:s.aitianxin.cn:9091

魑魅魍魎DDos壓測工具:Server.exe
C&C:s.aitianxin.cn:1989


Gh0st遠控:cf.exe
包含了鍵盤記錄、屏幕操控等常見遠控功能,C&C: s.aitianxin.cn:7777

三、安全建議
1.因phpStudy遭遇供應鏈攻擊一事已完全曝光,有關技術報告十分詳盡,如果企業沒有積極采取措施補救,反而可能被黑灰產業搶行一步實施攻擊行動,針對PhpStudy組件漏洞的攻擊已存在較長時間。

[1] [2]  下一頁

【聲明】:黑吧安全網(http://www.gkrbnd.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        福彩原副主任