0435-【安天CERT】大量HFS搭建的服务器被黑客利用进行恶意代码传播-棉花糖会员站

# 【安天CERT】大量HFS搭建的服务器被黑客利用进行恶意代码传播

**微信公众号:Antiylab**

0x01 概述
=======

* * *

近期，安天第三代蜜罐捕风系统捕获到一个下载者样本。该样本运行后访问一个由黑客搭建的轻型文件服务器（Http File Server）。通过使用捕风系统进行追溯与关联分析，分析人员发现目前有很多使用HFS搭建的服务器，通过对其中一个下载服务器进行监控，其在线6天的总点击量近3万次，可见其传播范围极广。该软件的“傻瓜式”教程颇受低水平的攻击者喜爱，同时由于其架设方便，便于传播等特点，已被黑客多次恶意利用。经过安天CERT分析人员进行关联与分析发现，目前这种轻型服务器工具已普遍流行。

1. **样本标签**

![](http://drops.javaweb.org/uploads/images/fe2e5a614b159ed65612d610f313c861101e53ab.jpg)

图1 样本标签

黑客利用弱口令入侵MySQL数据库服务器后使用MySQL指令建立表，并新建变量，将可执行二进制码写入变量并插入表中，然后将表中的可执行二进制文件Dump到数据库服务器中，最后执行文件。这种手法也是黑客入侵数据库惯用的手法。

该样本运行后动态获取自身代码，随后进行提权操作，关键功能为枚举杀毒软件金山卫士进程名KSafeTray.exe。如果存在此进程，则终结进程。

![](http://drops.javaweb.org/uploads/images/1e996cfaeb2a6b4154040454df8d514c73a51d11.jpg)

图3 杀掉金山卫士进程

恶意代码连接服务器（IP：118.193**.**:1010）

![](http://drops.javaweb.org/uploads/images/e8776eb321b675a695a12df26237b651bdab4e28.jpg)

图4 联网操作

当恶意代码连接该服务器端口时，服务器端口失效。而在安天CERT分析人员连接该IP时发现一个轻型服务器，上面有一个恶意代码(1010.exe)

2. **服务器样本分析**

![](http://drops.javaweb.org/uploads/images/3da2555aa1edd8e45015d275df18ec969b64c58d.jpg)

图5 样本标签

![](http://drops.javaweb.org/uploads/images/e8f78918e7983aa55502810dbe74047de50ce1a1.jpg)

图6 服务器样本流程

该黑客服务器上线不到2个小时即被安天CERT捕获到。该样本首先解密下载服务器的地址，随后判断该样本是否带参数运行及参数是否包括“Win7”字符串，如果不包括或者不带参数运行则进入创建具有下载功能的线程，进入创建线程时判断传递给线程的参数是否为空，如果不为空则进入线程创建过程，如下图所示。

![](http://drops.javaweb.org/uploads/images/447ece979ff3aec7bd7daa04774c856e6c849231.jpg)

图7 创建线程流程

恶意代码进入线程后，将参数字符串（实际为连接服务器的地址）传递给连接服务器函数。该线程负责下载其他恶意代码。

如果恶意代码带参数且包含“Win7”字符串时，则恶意代码直接跳过线程代码创建过程，将文件名称和标志位传递给连接服务器函数，随后进行重新连接该服务器地址，重新下载1011.exe文件并保存在C:\Windows\AppPatch目录下起名为“mysqld.dll” 运行。

![](http://drops.javaweb.org/uploads/images/d584f77c74ccdad0b94a315b89ffcd4757baa015.jpg)

图8 带参数运行流程

该服务器于9月8日刚刚上线，感染速度日趋增长，如下图所示：

IP地址：118.193.**.**（香港特别行政区中国电信沙田国际数据中心）

![](http://drops.javaweb.org/uploads/images/7c95a6bce90d272510bbe981c0c8cb66bf36d59d.jpg)

![](http://drops.javaweb.org/uploads/images/b95d7548402224fe1cb972ffe97423bf7cd21255.jpg)

图9 服务器上线一天的点击量

0x02 关联类似服务器
============

* * *

通过进一步关联分析，发现在安天蜜罐系统中另一个样本所链接的地址也是使用Http File Server搭建的服务器。服务器域名为qj0.**.**，对此安天CERT对该域名进行几天跟踪发现该域名更换过4次IP（如下图所示），且服务器均为阿里云提供。采取动态域名、利用阿里云提供服务器，这两个手法相互结合更加提高了恶意团伙的隐蔽性。黑客购买了多个阿里云服务器用来传播恶意代码，且时常更换IP，并用IP绑定其他域名等方式来扩大恶意代码传播范围，同时将自己隐藏的更深。

![](http://drops.javaweb.org/uploads/images/5fdcea185408424c4e177ded3f201e9059671e94.jpg)

图10 域名频繁更换阿里云服务器

![](http://drops.javaweb.org/uploads/images/2bf096ade38f64cda9436027344a5367201385cb.jpg)

图11 恶意服务器点击量

恶意服务器定期更新恶意代码，并且感染量增长较快。

**服务器恶意代码病毒名统计如下：**

![](http://drops.javaweb.org/uploads/images/049f3d75c67f36efff373735c6bc096173227d45.jpg)

安天CERT于9月7日捕获到了另外一种类似恶意代码下载服务器地址，该服务器在捕获的时候点击量已经近万。服务器上的软件几乎均为恶意代码，恶意代码功能多为后门和下载者，恶意代码功能列表详见下方表格。

![](http://drops.javaweb.org/uploads/images/00050ffbea9d6dba8ca561b284bea891604ff981.jpg)

图12 恶意服务器

安天CERT分析人员跟踪该服务器一周时间发现，总点击量呈线性增长，几乎每天增加3000的点击量。如下图所示：

![](http://drops.javaweb.org/uploads/images/21d45d24b12451731ef99c803dd6da65fb26f74e.jpg)

图13 服务器点击量日趋势

**服务器恶意代码病毒名统计如下：**

![](http://drops.javaweb.org/uploads/images/852b4265dc656ae8970a094a293453f80fd6fcff.jpg)

安天分析人员通过跟踪与挖掘发现，目前这种黑客服务器非常常见，如下图所示：

![](http://drops.javaweb.org/uploads/images/df386f676f47215dd7b44d18d0b82123c694dc5e.jpg)

图14 恶意服务器

![](http://drops.javaweb.org/uploads/images/42c1fc7af87c871ecde5676bfc721022a9a07c04.jpg)

图15 恶意服务器

0x03 总结
=======

* * *

目前，随着“黑色产业”的巨大经济利益诱惑，商业化的黑客工具包的使用变得越来越流行。这种能够“短平快”地产出恶意代码的方式让新手的入门门槛越来越低，一个没有经验的新手通过短时间的工具学习，就能轻松掌握入侵计算机窃密的方法。不仅仅是黑客工具，就算是一个普通的，用于构建正常服务的工具也能被轻易地被黑客利用，比如，轻量级Http服务器（Http File Server）正以其架设方便、便于操作等特点受到越来越多用户的青睐。与此同时，黑客也能利用在云端搭建轻型服务器与使用动态域名相结合的手段使得恶意代码能够更广泛、隐蔽地传播。这种轻量、便捷的服务器工具将会被越来越多的黑客或者新手使用，这无疑会加速恶意代码的传播。

这种工具式的黑客技术，让恶意代码的生产周期变的更短。依托商业工具进行攻击降低了攻击成本，同时提高了检测难度和传播速度。这种难度小、门槛低、成本少的攻击手法将使互联网的黑色产业链变得更加鱼龙混杂，同时也给互联网安全带来更多的挑战。

[博客地址](http://mp.weixin.qq.com/s?__biz=MjM5MTA3Nzk4MQ==&mid=211131560&idx=1&sn=3e2d0b02b10348ce2d8e5b7ac9445969&scene=0#rd)

文章版权归作者所有，未经允许请勿转载。

THE END