我們通過排查相關(guān)威脅信息發(fā)現(xiàn)，上述后門病毒從去年8月份開始，影響范圍明顯擴(kuò)大，不排除后續(xù)黑客還會(huì)嘗試其它滲透方式達(dá)到入侵的目的。

火絨查殺圖

火絨攔截圖
工程師溯源發(fā)現(xiàn)，黑客通過弱口令等方式入侵服務(wù)器后，然后通過SQL Server等服務(wù)啟動(dòng)cmd.exe來執(zhí)行powershell腳本，最終下載運(yùn)行上述后門病毒程序。而該后門病毒疑似為Quasar RAT的變種（一款國外開源遠(yuǎn)控工具），具備了下載、執(zhí)行、上傳、信息獲取與記錄等常見的遠(yuǎn)程控制功能，對(duì)用戶特別是企業(yè)單位具備嚴(yán)重安全威脅。

在此提醒廣大用戶，尤其是企業(yè)服務(wù)器管理人員，及時(shí)部署安全軟件，并定時(shí)查看安全日志，對(duì)服務(wù)器進(jìn)行加固，避免遭遇上述黑客、病毒攻擊。火絨用戶如發(fā)現(xiàn)異常日志記錄，可隨時(shí)聯(lián)系我們進(jìn)行排查。

附：【分析報(bào)告】

一、 詳細(xì)分析

通過查詢近一年的相關(guān)威脅信息后，我們得到該后門病毒的傳播趨勢(shì)如下圖所示：

傳播趨勢(shì)

經(jīng)代碼分析對(duì)比，我們推測(cè)該后門病毒是由黑客修改Quasar RAT而來。Quasar RAT是國外一款開源的遠(yuǎn)控工具，具有下載、執(zhí)行、上傳、信息獲取與記錄等常見的遠(yuǎn)程控制功能。由于我們不排除后續(xù)黑客采用更高威脅的滲透方法及后門模塊進(jìn)行攻擊與控制的可能性，所以服務(wù)器管理人員應(yīng)當(dāng)定期審查系統(tǒng)安全日志，及時(shí)發(fā)現(xiàn)系統(tǒng)的安全風(fēng)險(xiǎn)并對(duì)此進(jìn)行加固升級(jí)。相關(guān)入侵流程如下圖所示：

入侵流程圖

黑客成功入侵服務(wù)器后，利用SQL Server等服務(wù)啟動(dòng)cmd.exe來下載執(zhí)行powershell腳本z。當(dāng)腳本z執(zhí)行后，會(huì)通過62.60.134.103或170.80.23.121下載執(zhí)行惡意腳本ps1.bmp并拼接好ps2.bmp的下載路徑。相關(guān)代碼如下圖所示：

腳本z相關(guān)代碼

ps1.bmp是混淆后的powershell腳本，當(dāng)它執(zhí)行后會(huì)下載ps2.bmp到內(nèi)存并將其解密執(zhí)行。ps2.bmp實(shí)則就是加密后的后門模塊。相關(guān)代碼如下圖所示：

腳本ps1.bmp相關(guān)代碼

解密完成后的ps2.bmp為C#編寫的后門模塊。當(dāng)它運(yùn)行后會(huì)隨機(jī)與C&C服務(wù)器（23.228.109.230、www.hyn0hbhhz8.cf、www.ebv5hbhha8.cf、104.149.131.245）進(jìn)行通信，獲取并執(zhí)行后門指令。連接C&C服務(wù)器相關(guān)代碼如下圖所示：

連接C&C服務(wù)器

接收、執(zhí)行后門指令相關(guān)代碼如下圖所示：

接收、執(zhí)行后門指令

二、 溯源分析

經(jīng)分析發(fā)現(xiàn)，我們推測(cè)該后門模塊是由病毒作者修改Quasar RAT（github鏈接: hxxps://github.com/mirkoBastianini/Quasar-RAT）而來。遠(yuǎn)控功能代碼對(duì)比如下圖所示：

該后門遠(yuǎn)控功能與Quasar RAT對(duì)比

福利時(shí)刻

接下是就是給到我們想學(xué)網(wǎng)絡(luò)安全的朋友：

安全學(xué)習(xí)資料包（滲透工具/網(wǎng)絡(luò)安全技術(shù)文檔、書籍/最新大廠面試題/應(yīng)急響應(yīng)筆記/學(xué)習(xí)路線）等等
庫看小可愛手指的地方
【點(diǎn)擊領(lǐng)取資料包】

總結(jié)

以上是生活随笔為你收集整理的管理员请注意 一条后门病毒攻击链正在针对服务器发起入侵的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。