bt天堂挂马事件

上周有用户反映,在其访问“bt天堂电影下载站”时,360安全卫士提示拦截到网站挂马攻击(利用漏洞:CVE-2014-6332)。由于bt天堂拥有较高人气,影响用户数量巨大,我们对此事件进行了追踪调查,发现此挂马样本还出现在一家政府网站上,很可能是黑客利用非法入侵手段获取了网站权限,从而在bt天堂等网站上挂马。

根据监测,bt天堂在7月24日晚间已经清除了恶意代码。以下是我们对此事件的回溯和简要分析:

 

一、挂马事件回溯

 

bt天堂是很多宅男经常光顾的电影站,但如果在上周五打开http://www.bttiantang.com/subject/4375.html ,就会发现中间会打开 http://www.bttiantang.com/style/skins/icons/index5.html,经过简单的分析,发现了该网站被挂了网马,利用了CVE-2014-6332漏洞。这是一个通杀Win95+IE3-Win10+IE11的神级漏洞,尽管去年微软已发布补丁,但已经停止服务的XP系统仍然受到该漏洞影响。如果XP电脑没有开启360XP盾甲等专业安全软件保护,浏览网页就会自动感染木马。

挂马页面的截图

2015-07-28_163327

该页面被压缩了,解压之后可以找到木马的下载地址:

2015-07-28_163705

说好的电影没得看了,只好硬着头皮找牧马人了。

 

二、木马文件分析

 

下载该样本在本地进行分析,确认是一个木马下载器,下载远程文件  http://pvcc.pw:9999/NetSyst81.dll 到本地:

2015-07-28_164531

 

但是下载过来的文件是加密的:

2015-07-26_145321

经过程序循环解密后是一个可执行dll文件,这是解密的代码段:

2015-07-26_152831

解密出来的文件是一个upx加壳之后的dll,文件的属性伪装成某正规软件的dll文件版本信息:

2015-07-28_112340

继续解密,发现主要行为如下:

通过不同的控制编码实现不同的功能调用,主要有增加账户,执行恶意vbs脚本,设置注册表,下载并且复制termsrvhack.dll,创建驱动文件,创建关闭进程的线程等。

2015-07-28_130927

图1-1

其中比较重要的行为有:

1、设置系统成为可以多用户使用的3389端口远程桌面:
(1) 接收服务端的设置远程桌面的消息
(2) 操作注册表如下:
HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon中
KeepRASConnections设置为REG_SZ值为1
HKLMSYSTEMCurrentControlSetControlTerminal Server中
fDenyTSConnections设置为REG_DWORD值为0
HKLMSYSTEMCurrentControlSetcontrolterminal serverLicensing中
EnableConcurrentSessions设置为REG_DWORD值为1
HKLMSYSTEMCurrentControlSetServicesTermServiceParameters中
serviceDll设置为REG_EXPAND_SZ值为%SystemRoot%system32termsrvhack.dll
(3) 用文件接收功能,接收termsrvhack.dll到文件到C盘根目录下
(3) 复制c:termsrvhack.dll到c:windowssystem32dllcachetermsrvhack.dll
(4) 复制c:termsrvhack.dll到c:windowssystem32termsrvhack.dll

2015-07-28_123404

2、创建线程结束系统的 cmd窗口,任务管理器 注册表进程 ,系统服务管理进程等系统关键进程,结束qq,遨游浏览器,火狐浏览器等用户进程:

2015-07-28_125658

3、执行一个恶意脚本

功能是:CMD下运行函数 ,修改用户密码。

2015-07-28_124352

图1-2

此外还会查找各大检查杀毒软件 具体如下:

2015-07-28_165857

2015-07-28_170132

 

其中包括了 主流的各大杀毒和安全软件:

360杀毒360sd.exe360安全卫士360tray BullGuard杀毒mgui.exe.迈克菲mcagent.exe.熊猫卫士Pavsrv50.exe驱逐舰杀毒SHesvchost.exe
QuickHeal杀毒onlinent.exe pasvc.exeF-secure杀毒 fsaa.exe…Vba32杀毒vba32ldr.exe大蜘蛛spider.exe.赛门铁克ccapp.exe

比特梵bdnagent.exe MSE杀毒.MsMpEng.exe.V3杀毒v3lsvc.exe药丸杀毒AYAgent.exe.AVG杀毒.avgui.exe百度杀毒baidusdSvc.exe
QQ电脑管家QQPCRTP.exe金山杀毒ksafe.exe诺顿杀毒rtvscan.exe.Avast网络安全ashDisp.exe.Avira avcenter.exe趋势杀毒pccmain.exe
可牛杀毒knsdtray.exe.kxetray.exe.NOD32杀毒egui.exeMcshield.exe瑞星杀毒RavMonD.exe.江民杀毒KvMonXP.exe.卡巴斯基avp.exe

由于vbs文件名非常特别(jingtisanmenxiachuanxiao.vbs)经过进一步的挖掘,确认这个样本就是修改自网络开源的恶意代码大灰狼远控的dll文件,大灰狼远控的部分代码截图如下:

2015-07-28_134558

图1-3

2015-07-28_134728

图片1-4

通过对比 图1-1 和 图1-3 以及图1-2和图1-4 我们找到了惊人的相似代码

至此,我们已经确认挂马事件的幕后远控是一款叫大灰狼远控的恶意木马。

 

三、简单的社工

 

这次挂马事件受到波及的比较多,对此需要进一步的追踪,追查下载地址的dns发现如下资料:

2015-07-26_153820

以上的地址经过确认是一家酒店的地址,可见牧马者也是躲避追查不敢用真实的资料,但是由于dns需要通过qq邮箱来沟通,所以可以进一步追查邮箱得到信息:

2015-07-28_172504

2015-07-28_172540

 

四、意外的收获

 

我们在持续关注该样本的时候,发现同样的样本居然出现在某政府网站中,并且牧马者顺便在政府网站中放了几个页面重定位到了一个黄色网站:

http://www.hzsti.gov.cn/down/(黄色网站重定向地址)

http://www.hzsti.gov.cn/down/d9soft.exe (木马下载地址)

2015-07-28_173019

2015-07-28_172810

 

 

五、防范措施

 

对于Vista及以上版本的系统用户来说,只要打补丁就可以防范CVE-2014-6332的漏洞挂马;对于停止安全更新的XP用户来说,上网过程中一定要开启具有漏洞防护能力的安全软件,否则有太多已经公开的高危漏洞可以被黑客轻易利用。

360安全卫士拦截网页挂马和远控木马:

6332