快猴网
0x1概况
腾讯安全反病毒实验室发现一个名叫快猴网MS-010漏洞的NSA武器库被匿名黑客公布,除了臭名昭著的\"EternalBlue\"+WannaCry勒索病毒之外,\"EternalBlue\"+Nitol病毒也狼狈为奸,快速传播。在腾讯电脑管家等国内安全软件的强力防护下,\"EternalBlue\"的威力不再,利用其他方式传播的Nitol病毒浮现视野,“快猴网”投毒软件包,该种水坑攻击方式的出现并不意外。
0x2传播方式
“快猴网”游戏相关版块下的大量软件包被投毒,这些软件包被了置入lpk.dll恶意文件。从文件的置入时间判断,至少在2017年2月起就有少量的游戏包开始被投毒lpk.dll,大量的游戏包在10.11日14:52分被投毒或者再次投毒。
从外围信息来看,快猴网平均每天有10W+的用户访问,通过QQ群搜索“kuaihou”,可以发现有大量的游戏爱好者组建的相关游戏QQ群,群公告里均能看到“快猴网”的链接地址,不难理解“快猴网”在一些游戏爱好者中的“口碑地位”,也正是这些游戏爱好者会通过“快猴网”下载一些游戏或辅助工具。
一旦有受害者感染Nitol病毒,病毒还会尝试进行横向传播。
1.lpk.dll会备份感染至受害者磁盘的可能存在可执行程序的文件夹,以保证其能够更好启动执行;此时如果受害者计算机连接了U盘、移动硬盘等可移动媒介,lpk.dll还会尝试备份感染至这些可移动媒介。
2.另外Nitol病毒一旦有机会执行还会通过弱密码扫描,进而利用ipc$和默认共享入侵远程电脑。
0x3样本分析
1.lpk.dll
与其他Nitol木马生成器产生的lpk.dll一样,作为加载器lpk.dll将Nitol病毒程序放置在ID为102的RCData资源中,一旦lpk.dll有机会执行,除了进行备份感染传播外,重要的是lpk.dll会将释放ID为102位置的Nitol病毒程序并启动执行。
2.Nitol病毒程序
样本加了upx压缩壳,,加壳后文件只有20KB。
Nitol病毒接受并执行C2服务器发来的指令,可下载、更新、删除病毒木马、通过执行Cmd命令打开IE浏览器弹出网页,另外还可以通过C2远程指令进行synflood、tcpflood、httpflood三大DDOS攻击向量。同时Nitol可以通过IPC$共享进行横向传播。
1)新感染Nitol的机器会检测自身是否运行在windows目录下,如果不在,则拷贝自身到系统目录,文件名为6个随机小写字符:
2)Nitol拷贝到windows目录后,会通过创建一个名为“MnopqrTuvwxyabfafffs“的服务实现自启动。
3)Nitol病毒通过弱口令字典尝试访问IPC$共享,以达到感染内网的目的。
4)紧接着完成IPC$共享感染后,病毒程序就会创建线程,连接C2服务器,接受并执行来自于C2服务器的指令。
a)C2地址以密文形式存在于文件中,加密算法为base64+凯撒移位+异或
b)病毒会根据C2服务器的指令进行任意文件的下载更新、弹出IE网页,以对目标系统进行如下类型的DDOS攻击
i.SYNFlood
ii.TCPFlood
iii.HTTPFlood
c)远程指令如下:
3.IOCs
1)“快猴网”部分被投毒的软件包。
2)C2服务器
a)“快猴网“Nitol僵尸网络的C2。
b)其他部分Nitol僵尸网络C2地址。
3)快猴DDOS攻击情况
4)Nitol病毒感染分布
0x4安全建议
对于此类病毒从源头传播到横向传播,电脑管家均可以进行有效的防御和查杀,建议广大网友保持良好的上网习惯,保持电脑管家的正常开启,不要因为使用外挂、辅助类工具而轻易关闭或退出电脑管家,使用移动媒介在他人设备拷贝文件时注意电脑管家U盘防护的提醒建议。
