<% dim ModuleName,InfoID,ChannelShortName,CorrelativeArticle,InstallDir,ChannelDir,Keyword,PageTitle,ArticleIntro,Articlecontent Keyword=stripHTML("H-WORM,远控木马,木马") PageTitle=stripHTML("H-WORM:简单而活跃的远控木马") ArticleIntro=stripHTML("远控类木马的活动一直是360天眼实验室的关注重点,近期我们的天眼设备发现了如下一组看起来非常眼熟的被访问的链接。URL的模式非常明显:免费动态域名+非知名的端口+“/is-ready” 。") Articlecontent=stripHTML("http://adolf2013.sytes.net:1183/is-ready  http://herohero.no-ip.org:96/is-ready …") ModuleName = stripHTML("hack") InfoID = stripHTML("227545") ChannelShortName=stripHTML("Hack") InstallDir=stripHTML("http://www.77169.com/") ChannelDir=stripHTML("hack") %> H-WORM:简单而活跃的远控木马 - 华盟网 - http://www.77169.com
您现在的位置: 华盟网 >> Hack >> 牧马天地 >> 正文

[组图]H-WORM:简单而活跃的远控木马

2016/7/1 作者:360天眼安全实… 来源: 网络收集
导读 <% if len(ArticleIntro)<3 then Response.Write Articlecontent 'Response.Write "Articlecontent" else Response.Write ArticleIntro 'Response.Write "ArticleIntro" end if %>

  http://adolf2013.sytes.net:1183/is-ready

  http://herohero.no-ip.org:96/is-ready

  http://micr0s0ftsoft.myftp.org:82/is-ready

  http://dzhacker15.no-ip.org:100/is-ready

  http://blackmind.redirectme.net:820/is-ready

  http://aass.no-ip.biz:83/is-ready

  http://sidisalim.myvnc.com:1888/is-ready

  http://spy2010net.zapto.org:83/is-ready

  http://smoker21.hopto.org:1920/is-ready

  查询360威胁情报中心,上面提及的这些域名关联到同一个IP地址:204.95.99.31 。

      

  而对IP 204.95.99.31查询情报中心的Passive DNS数据,我们可以发现其绑定过大量的恶意域名,从那些域名通过威胁情报中心又能很快关联相应的恶意样本。经过对得到的样本的分析,我们确认其中绝对大部分样本属于H-WORM恶意代码家族,此外还有一些诸如njRAT、 XtremeRAT、njW0rm等使用同一家族通信协议的RAT恶意样本。

        

  从我们对相关样本量的历史监测图来看,H-WORM在国内一直保有一定的活跃度,其实H-WORM是个非常简单的恶意代码,但在我们强大的病毒查杀体系下却能生存一下必定有它的原因,那么我们来了解一下这个叫做H-WORM的恶意程序。

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113145843.png

  H-WORM

  H-WORM是个ID为Houdini的人写的一款用VBS实现远控蠕虫,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被黑产所青睐而活跃至今。

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113145500.png

  2013年7月24日,H-WORM的作者Houdini在某论坛上发布H-WORM的帖子

  H-WORM样本的主要传播方式有三种:电子邮件附件、恶意链接和被感染的U盘传播,蠕虫式的传播机制会形成大量的感染。 下面为作者公开提供下载的H-WORM控制端截图,下载地址见文后的参考链接:

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113146993.png

  样本分析

  代码简洁而有效是H-WORM最大的特点。这里我们对选取其中一个H-WORM样本做一下简单分析,看看H-WORM感染受害者计算机后到底做了些什么,普通用户又该怎样采取应对措施。

  样本HASH:1eb712d4976babf7c8cd0b34015c2701bc5040420e688911e6614b278cc82a42

  样本名称: F:\cwtslatwbl.vbs

  将样本代码简单解密后,得到真正的代码。解密方式为将“81899982838”替换为空格,然后取每个数值对应的ASCII字符即可。

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113146163.png

  样本首先通过读取注册表HKEY_LOCAL_MACHINE\software\脚本名 项来判断当前系统是否已经感染,如未感染,则写入该项。然后通过写入注册表项HKCU\Software\microsoft\CurrentVersion\Run和HKLM\Software\microsoft\CurrentVersion\Run来实现开机自启动,并将自身拷贝到temp目录和Startup目录下:

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113146542.png

  接着,进入主循环,H-WORM会不断循环遍历系统驱动器判断是否有可移动磁盘接入,如果有,则将自身拷贝到可移动磁盘内设置文件属性为隐藏、系统文件。同时将除了.lnk文件外的其他文件隐藏,然后创建其快捷方式,快捷方式的参数则设置为用cmd调用自身,然后再打开原始文件以迷惑用户,这是极其常见而又非常有效的通过移动介质进行传播的方式。相关的代码如下:

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113147215.png

  之后开始连接远程服务器,通过HTTP请求向服务器发送用户信息,其收集的用户信息包括computername、username、操作系统版本、杀软信息等等。接着开始接收服务器命令,主要功能有文件管理、进程管理、远程shell、执行远程代码等等,值得一提的是样本使用了User-Agent来传递数据:

  

      http://www.77169.com/hack/UploadFiles_8057/201607/20160701113147438.png

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113148479.png

  接收命令和对应功能如下图,命令格式为 command <|> param,通过<|>分割命令和参数。

  

http://www.77169.com/hack/UploadFiles_8057/201607/20160701113148123.png

  受害者的计算机感染H-WORM之后,攻击者可以进一步地推送其他恶意程序,使其被彻底控制,或者使其成为僵尸网络的一部分。

  感染情况

  通过360威胁情报中心的数据,我们估计了最近一个月的H-WORM的感染量,感染的计算机超过6000台。从地域来看,感染影响32个省份和直辖市,其中陕西省和吉林省的受害者最多,占总数的10%和9%;其次是河南、天津,比例均超过7%;然后是四川、广东、江苏、福建、山东、云南等,占比也超过5%。这个分布状态与我们通常看到的与省份的发达程度成正比的恶意代码感染量并不一致,背后的原因也许值得挖掘。

  http://www.77169.com/hack/UploadFiles_8057/201607/20160701113148211.png

  IOC

  我们统计到的H-WORM样本涉及的C&C地址共有173个,其中有126个域名可以观察到历史解析信息,截至最近抽样统计总共解析接近1000万次。

  下表为目前比较活跃的其中50个域名,可以作为非常有效的IOC使用。全部已知的域名作为威胁情报已经推送到天眼设备,在部署了设备的网络可以快速发现被感染的系统。

  域名

  zzzch.zapto.org

  ysf.no-ip.biz

  ycemufkk6g.bounceme.net

  xxx-xxx.no-ip.info

  xkiller.no-ip.info

  wach.no-ip.org

  tariqalr.zapto.org

  shagagy21.no-ip.biz

  sexcam.3utilities.com

  servecounterstrike.servecounterstrike.com

  playgame.servecounterstrike.com

  p-dark.zapto.org

  nouna1985.no-ip.org

  n0it.no-ip.org

  mzab47.myq-see.com

  modox.no-ip.org

  mmoohhaammeedd.no-ip.biz

  mlcrosoft.serveftp.com

  microsoftupgrades.servehttp.com

  microsoftsystem.sytes.net

  micr0s0ftsoft.myftp.org

  mda.no-ip.org

  maroco.redirectme.net

  maroco.myq-see.com

  maroco.linkpc.net

  man2010.no-ip.org

  korom.zapto.org

  koko.myftp.org

  klonkino.no-ip.org

  king.servemp3.com

  herohero.no-ip.org

  hacker20133.no-ip.org

  googlechrome.servequake.com

  g00gle.sytes.net

  dzhacker15.no-ip.org

  dz47.servehttp.com

  dz47.myq-see.com

  dz47.linkpc.net

  dream7.no-ip.biz

  diiimaria.zapto.org

  desha10.no-ip.org

  dataday3.no-ip.org

  darkanony0501.no-ip.biz

  cupidon.zapto.org

  chrom.no-ip.info

  bog5151.zapto.org

  blackmind.redirectme.net

  albertino.no-ip.info

  adolf2013.sytes.net

  adamdam.zapto.org

  参考链接

  http://www.ic0de.org/archive/index.php/t-12134.html

  http://rghost.net/47560191

  https://www.fireeye.com/blog/threat-research/2013/08/njw0rm-brother-from-the-same-mother.html