DorkBot变种俘获大量肉鸡,U盘拷贝需谨慎

5.相关IOC

文件MD5:

44EA6A2CEEF1A2D49A66A78E85B73F15

7BCCE7FD7E247C7C6BCF762F3863E806

上一页[1] [2]

1.简述

近日,笃信服EDR安然团队接到某用户反馈,其内网170多台主机被检测出僵尸收集病毒,而且稀罕的是,这些主机之间并没有经由过程收集进行传播感染,那么为何被感染的主机不停增多呢?笃信服EDR安然团队经由过程深入追踪阐发,发明这个病毒是经由过程U盘进行传播感染,是DorkBot的一个变种经由过程笃信服安然云脑,发明DorkBot仍旧照样对照盛行的僵尸收集病毒家族

该DorkBot病毒变种属于蠕虫病毒,被感染的所有主机都邑沦为黑客的肉鸡,不按期对外网主机进行DDoS进击,同时其还具有极强的隐蔽性,运行之后会把恶意代码注入到合法进程,然后删除自身,使得客户很难发明主机被感染了

2.进击场景

2.1 病毒流程

2.2 进击现场

运行ProcessHacker查看进程列表,发明有三个可疑的进程svchost.exe、mspaint.exe、calc.exe(这三个进程皆没有窗口)

查看该svchost.exe进程的信息,发明它没有父进程,预测它应该是被病毒创建出来的孤儿进程(合法的svchost.exe父进程为services.exe)

calc.exe也没有父进程,同时calc.exe还试图连接可疑IP

这三个进程特性行径险些相同,我们以mspaint.exe为例进行检测应用对象发明,其内存中存在RWX内存段和PE布局,这是很范例的进程注入特性

经由过程检索字符串,加倍确实该进程被注入了,而且恶意行径可能是偷取某些网站的密码

mspaint.exe和calc.exe一样都有连接可疑IP的行径

病毒为了实现开机自启动,在注册表中添加了Updater.exe.exe的自启动项(该文件此时已被我们的EDR对象所隔离)

3.病毒阐发

3.1 病毒布局

3.2 注入模块

在主函数的开首,病毒母体创建一个线程完成calc.exe进程的创建及注入

注入恶意代码到svchost.exe

在svchost.exe的内存中发清楚明了一个可疑PE文件

创建进程mspaint.exe并注入恶意代码,该事情由svchost.exe完成

3.3 通信模块

病毒将收集连接相关的所有API写入了scot节,运行时对它们进行动态加载,以是我们在函数导入表中根本看不到这些API

当mspaint.exe运行时,这些API就会被动态加载和调用,以下是mspaint.exe跟此中一个C&C办事器通信的历程

从Wireshark抓到的流量可以发明,这发送的数据应该是被编码后的指令

[1] [2]下一页

3.4 DDoS模块

跟C&C办事器通信后,C&C办事器会不按期对所有肉鸡下发进击敕令,进击主如果以DDos的形式进行的如下是肉鸡向外进行SYN Flood和UDP Flood的历程

3.5 传播模块

该病毒经由过程U盘进行传播,相关代码在进程svchost.exe中实现

3.6 暗藏模块

病毒着末会将自己添加到注册表启动项中,实现开机自启动

然后创建一个子进程将病毒母体删除

4.办理规划

(1)终止红框中的恶意进程,此中svchost.exe是没有父进程的svchost.exe

(2)删除HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun项下的Windows Update Installer键以及对应的文件C:UsersAdministratorAppDataRoamingWindowsUpdateUpdater.exe

(3)删除U盘中的暗藏文件(病毒母体和autorun.inf),在这之前要设置文件显示选项为显示暗藏文件

(4)建议对全网进行一次安然反省和杀毒扫描,结合安然办事,加强防护事情保举应用笃信服安然感知+防火墙+终端相应平台,对内网进行感知、查杀和防护

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包