频道栏目
首页 > 安全 > 网络安全 > 正文

流行威胁之情报速递-Morto蠕虫

2017-05-13 09:48:00           
收藏   我要投稿

威胁概述

流行威胁之情报速递-Morto蠕虫。Morto恶意代码家族是一种内网传播的蠕虫,最早于2011年被趋势科技披露。360威胁情报中心的监测显示在国内该家族到目前都非常活跃,需要网络安全管理员引起重视进行处理。

通过对该家族所使用的C&C域名的监控,我们看到最近一个月中该恶意代码的感染情况如下图:

\

感染的IP分布大致如下:

\

其中在国内各省份的感染分布状态如下:

\

威胁情报

以下是威胁相关的情报,读者可以根据需要进行对应的处理,360所有支持威胁情报的产品(天眼、NGSOC、智慧防火墙等)都已经内置了检测。

\

技术分析

整体而言,恶意代码分为三个部分,maindrop,loader,payload。

maindrop

该模块主要用于运行环境初始化,相应模块的释放。

通过IDA加载之后发现样本的导入函数表如下,通常样本为了防止研究员分析会采取动态函数的方式获取需要调用的API的地址,使用Loadlibrary/GetProAddress的方式加载,但是这个地方发现导入函数中并不包含这两个基本的函数。

\

因此怀疑该样本使用了shellcode中常用的API获取方式,即通过fs获取kernel32基地址,并解析该dll导出函数的方式获取必要的API。

分析代码之后发现,该函数确实通过fs这个寄存器获取了当前进程加载的dll信息,并从中遍历出kernel32的地址。

\

可以看到获取对应的基地址之后通过解析其导出表获取对应的函数,如下图所示:

\

之后解密并运行,如下图所示创建以下几个注册表项,并释放出Loader clb.dll。

\

其中上述的注册表HKLM\\SYSTEM\\WPA\\md中保存了对应加密版的payloader,可以看到其长度为444402。

\

之后maindrop开启一个regedit.exe进程。

loader

注册表进程默认的情况下会加载clb.dll这个dll,maindrop之前在windows目录下已经释放了同名的恶意clb.dll,由于Windows的dll加载机制,此处将导致regedit进程将恶意的clb.dll加载。

\
\

clb.dll运行之后会从HKLM\\SYSTEM\\WPA\\md中解密出对应的payload并加载运行,之后会创建以下两个文件,cache实际为一个loader。

C:\WINDOWS\Offline Web Pages\cache.txt

C:\WINDOWS\system32\Sens32.dll

payload

payload主要用于和远程进行通信并实现RDP扫描。

上一篇:NSA方程式Easybee攻击程序漏洞复现与分析
下一篇:学点算法搞安全之HMM(下篇)
相关文章
图文推荐

关于我们 | 联系我们 | 广告服务 | 投资合作 | 版权申明 | 在线帮助 | 网站地图 | 作品发布 | Vip技术培训 | 举报中心

版权所有: 红黑联盟--致力于做实用的IT技术学习网站