FavoriteLoading
0

服務器的神秘來客:XTBL敲詐者木馬技術分析

0x1前言
XTBL敲詐者是一款專門針對Windows服務器的敲詐者木馬,最早出現于2015年,不過當時只在小范圍傳播,并未大面積影響國內服務器。但自今年六月起,國內不少服務器開始出現XTBL敲詐者感染跡象,而且還出現了多個變種。根據360反病毒中心調查分析,該木馬很可能是攻擊者利用服務器漏洞入侵后直接運行感染的。

圖1 搜索引擎返回結果顯示“XTBL”敲詐者盛行
服務器感染“XTBL”敲詐者后,服務器中文檔,壓縮包,圖片等文件均遭到加密,并修改文件后綴為“XTBL”,并在文件名中附帶黑客的郵箱。圖2顯示的是一位求助網友的服務器感染“XTBL”敲詐者后的桌面截圖。

圖2 感染“XTBL”敲詐者木馬后桌面截圖
0x2 傳播途徑分析
“XTBL”敲詐者的攻擊目標主要為Windows服務器。黑客入侵服務器后釋放敲詐者木馬程序,而敲詐者木馬在加密文檔的同時枚舉網絡資源,查找工作組和域內所有共享服務器的共享資源,并對其進行加密,以達到二次傳播的效果。對照求助網友的服務器登陸日志以及文檔最后修改時間可以發現,服務器感染敲詐者木馬之前一段時間曾遭到疑似爆破登陸。

圖3 文件最后修改時間

圖4 文件加密之前服務器曾遭到疑似爆破登陸

圖5 “XTBL”敲詐者文件創建時間
0x3 樣本分析
本文以最新捕獲的“XTBL”樣本為例進行分析。和大部分敲詐者木馬相似,“XTBL”敲詐者木馬解密數據段的數據,創建本進程另一實例作為“傀儡”進程進行進程替換,以達到運行shellcode的目的。初始進程可能偽裝成安裝包或其他應用程序,無惡意功能,載入shellcode的“傀儡”進程執行敲詐者木馬的主要功能。

圖6 “XTBL“敲詐者偽裝成安裝程序
從Dump出的shellcode可以看出,程序主要由五大功能模塊組成。包含API字符串的解密及地址獲取,啟動項的添加,刪除卷影,發送服務器信息以及加密文件。

圖7 五大功能模塊
對于API函數字符串的解密,則是取地址0x40D450中存放的常量字符串,偶數位四字節異或0x98765432,奇數位四字節異或0x12345678所得。之后通過得到的API字符串獲取相對應的函數地址,構建導入表。

圖 解密API字符串
該程序對字符串的解密方法十分講究,程序中使用的所有字符串包括RSA公鑰都由一串位于地址0x41F900的密文動態解密得到,解密算法有多種,都是基于異或解密的方式,并由一常數控制密文索引起始值。下圖顯示程序中使用的部分字符串的解密結果。

圖9 部分字符串解密結果
相比較靈活的字符串解密方式,程序的自啟動方式顯得“墨守陳規“,通過設置相關注冊表項以及復制文件到啟動目錄兩種方式添加啟動項。

圖10 設置相關注冊表項

圖11 復制自身到啟動目錄
在進行加密之前,程序會刪除卷影備份。

圖12 刪除卷影備份
值得一提的是,“XTBL”敲詐者使用管道來傳遞命令行,這和“Ceber”系列敲詐者使用方法相同,而通過“mode con select=1251”命令行設置MS-DOS顯示為西里爾語可能與作者來自俄羅斯有關。
完成以上準備工作之后,程序產生兩組密鑰塊,其中一組用于本地文件加密,另一組用于網絡共享資源文件加密。

分頁閱讀: 1 2
【聲明】:8090安全小組門戶(http://www.jvwkvg.tw)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。