我们通过排查相关威胁信息发现,上述后门病毒从去年8月份开始,影响范围明显扩大,不排除后续黑客还会尝试其它渗透方式达到入侵的目的。
火绒查杀图
火绒拦截图
工程师溯源发现,黑客通过弱口令等方式入侵服务器后,然后通过SQL Server等服务启动cmd.exe来执行powershell脚本,最终下载运行上述后门病毒程序。而该后门病毒疑似为Quasar RAT的变种(一款国外开源远控工具),具备了下载、执行、上传、信息获取与记录等常见的远程控制功能,对用户特别是企业单位具备严重安全威胁。
在此提醒广大用户,尤其是企业服务器管理人员,及时部署安全软件,并定时查看安全日志,对服务器进行加固,避免遭遇上述黑客、病毒攻击。火绒用户如发现异常日志记录,可随时联系我们进行排查。
附:【分析报告】
一、 详细分析
通过查询近一年的相关威胁信息后,我们得到该后门病毒的传播趋势如下图所示:
传播趋势
经代码分析对比,我们推测该后门病毒是由黑客修改Quasar RAT而来。Quasar RAT是国外一款开源的远控工具,具有下载、执行、上传、信息获取与记录等常见的远程控制功能。由于我们不排除后续黑客采用更高威胁的渗透方法及后门模块进行攻击与控制的可能性,所以服务器管理人员应当定期审查系统安全日志,及时发现系统的安全风险并对此进行加固升级。相关入侵流程如下图所示:
入侵流程图
黑客成功入侵服务器后,利用SQL Server等服务启动cmd.exe来下载执行powershell脚本z。当脚本z执行后,会通过62.60.134.103或170.80.23.121下载执行恶意脚本ps1.bmp并拼接好ps2.bmp的下载路径。相关代码如下图所示:
脚本z相关代码
ps1.bmp是混淆后的powershell脚本,当它执行后会下载ps2.bmp到内存并将其解密执行。ps2.bmp实则就是加密后的后门模块。相关代码如下图所示:
脚本ps1.bmp相关代码
解密完成后的ps2.bmp为C#编写的后门模块。当它运行后会随机与C&C服务器(23.228.109.230、www.hyn0hbhhz8.cf、www.ebv5hbhha8.cf、104.149.131.245)进行通信,获取并执行后门指令。连接C&C服务器相关代码如下图所示:
连接C&C服务器
接收、执行后门指令相关代码如下图所示:
接收、执行后门指令
二、 溯源分析
经分析发现,我们推测该后门模块是由病毒作者修改Quasar RAT(github链接: hxxps://github.com/mirkoBastianini/Quasar-RAT)而来。远控功能代码对比如下图所示:
该后门远控功能与Quasar RAT对比
福利时刻
接下是就是给到我们想学网络安全的朋友:
安全学习资料包(渗透工具/网络安全技术文档、书籍/最新大厂面试题/应急响应笔记/学习路线)等等
库看小可爱手指的地方
【点击领取资料包】
