图1 WannaMine攻击简图
自WannaMine涌现到2018年3月的这段韶光中,WannaMine较为沉寂,仅仅改换了几次载荷托管地址。2018年3月起,WannaMine开始攻击搭建于Windows操作系统上的Web做事端,包括Weblogic、PHPMyAdmin、Drupal。图2展示了WannaMine在2018年2月到4月载荷托管地址以及攻击目标的变革。
图2 WannaMine在2018年2月至4月载荷托管地址与攻击目标的变革
由于3月份的这次更新使WannaMine增加了攻击目标,其掌握的僵尸机数量也随之大幅度增加。僵尸网络规模的扩大使僵尸网络掌握者急于将利益最大化,果不其然,WannaMine在6月份的更新之后涌现了为其他黑客组织事情的迹象,这可以从一个表格表示出来。表2展示了WannaMine自2018年2月以来的载荷托管ip地址以及当时解析到该ip地址的域名。
表2:表格按韶光先后从上往下排列
从表格中不丢脸出,早期WannaMine所利用的载荷托管ip地址常常改变,并且通过域名反查得到的域名都是不同的,这表明WannaMine可能利用僵尸网络中的某一台僵尸机用于托管载荷,每次进行更新后,WannaMine就改换一台托管载荷的僵尸机。自107.148.195.71这个ip地址之后,WannaMine利用的连续4个载荷托管地址都是域名d4uk.7h4uk.com所解析到的地址,这种情形在之前是不存在的。而这个韶光正是6月份WannaMine进行更新的韶光节点,这在360安全卫士每周安全形势总结(http://www.360.cn/newslist/zxzx/bzaqxszj.html)中提到过。在这次更新中,WannaMine利用Weblogic反序列化漏洞攻击做事器后植入挖矿木马和DDos木马。值得一提的是,这次WannaMine还利用了刚刚面世不久的Wmic攻击来bypass UAC和躲避杀毒软件的查杀。
图3 WannaMine 6月份发动的攻击流程
在WannaMine的这次更新中存在了多个疑点,这些疑点暗示此时的WannaMine掌握者可能与之前的明显不同:
1.WannaMine在3月份到4月份已经发起大规模针对Weblogic做事真个攻击,僵尸网络已经掌握了许多Weblogic做事端,为何在6月份的更新之后还要对Weblogic做事端发起攻击。
2.为何自6月份以来WannaMine的载荷托管域名都是d4uk.7h4uk.com。
通过对域名d4uk.7h4uk.com的跟踪可以创造,该域名在2018年4月中旬开始被一个黑客组织利用,这要远早于WannaMine对该域名的利用,而该黑客组织在攻击手腕以及目的上也与WannaMine大相径庭。该黑客组织通过Weblogic反序列化漏洞CVE-2018-2628入侵做事器,往做事器中植入DDos木马。DDos木马的载荷托管地址为hxxp://d4uk.7h4uk.com/w_download.exe,这与WannaMine开释的DDos木马的托管地址吻合。
图4 该黑客组织利用的攻击代码
虽然载荷托管地址与之后WannaMine利用的载荷托管地址相同,但是4月中旬的攻击中所有攻击文件都是落地的并且没有WannaMine代码的痕迹,其借助sct文件实现持续驻留的办法也和WannaMine借助WMI实现持续驻留的办法有所不同。可以断定,这来自于与WannaMine不同的另一个黑客组织。
其余,从WannaMine 6月份更新后的代码特色也不难创造,其代码进行了略微修正,加入了RunDDOS、KillBot等多个函数,这些函数被插入了之前多个版本中都未被修正过的fun模块(fun模块用于进行横向渗透),并且与fun模块的原始功能非常不搭,此外 RunDDOS中将DDos木马直接开释到磁盘中,这也与WannaMine风格不符。可以推断,这次代码的改动可能是为其他黑客组织供应一个定制化的攻击组件。
图5 RunDDos函数内容
通过上述剖析,可以总结出WannaMine 6月份更新之后的两个特点:1.利用一个其他黑客组织1个多月前利用过的载荷,并且这次更新利用的载荷托管地址和载荷文件都与该黑客组织有关;2.更新后加入的代码位置、代码内容与之前的风格不符,有临时定制化的可能。通过这两个特点可以推断,WannaMine已经开始为其他黑客组织供应武器。
结语
让掌握的僵尸网络实现更多的利益产出是每个黑客组织期望的结果,WannaMine的目的也是如此。高等僵尸网络商业化对付防御者而言是一种寻衅,由于防御者将会碰着越来越多利用其高超技能的黑客组织。WannaMine的高超之处,在于其暗藏而又有效的横向渗透技能,这将是防御者在对抗WannaMine乃至利用WannaMine的黑客组织须要重视的地方。
