WannaMine再公升級，搖身一變成為軍火商？

wannamine再公升級，搖身一變成為軍火商?wannamine是個「無檔案」殭屍網路，在入侵過程中無任何檔案落地，僅僅依靠wmi類屬性儲存shellcode，並通過「永恆之藍」漏洞攻擊**以及「mimikatz+wmiexec」攻擊元件進行橫向滲透。相比較其他挖礦殭屍網路，wannamine使用更為高階的攻擊手段，這也是wannamine能夠存活至今的原因之一。wannamine最早出現在公眾視野是2023年底，在對wannamine的持續跟蹤中360分析人員發現，wannamine可能已經開始為其他黑客組織提供**。

圖1 wannamine攻擊簡圖

自wannamine出現到2023年3月的這段時間中，wannamine較為沉寂，僅僅更換了幾次載荷託管位址。2023年3月起，wannamine開始攻擊搭建於windows作業系統上的web服務端，包括weblogic、phpmyadmin、drupal。圖2展示了wannamine在2023年2月到4月載荷託管位址以及攻擊目標的變化。

圖2 wannamine在2023年2月至4月載荷託管位址與攻擊目標的變化

由於3月份的這次更新使wannamine增加了攻擊目標，其控制的殭屍機數量也隨之大幅度增加。殭屍網路規模的擴大使殭屍網路控制者急於將利益最大化，果不其然，wannamine在6月份的更新之後出現了為其他黑客組織工作的跡象，這可以從乙個**體現出來。表1展示了wannamine自2023年2月以來的載荷託管ip位址以及當時解析到該ip位址的網域名稱(**按時間先後從上往下排列)。

表1載荷託管ip位址

使用時解析到該ip位址的網域名稱

195.22.127.157

node3.jhshxbv.com、node.jhshxbv.com、 node4.jhshxbv.com、node2.jhshxbv.com

107.179.67.243

stafftest.spdns.eu、profetestruec.net

45.63.55.15

未知94.102.52.36

nuki-dx.com

123.59.68.172

ddd.parkmap.org、yp.parkmap.org

93.174.93.73

demaxiya.info、fashionbookmark.com

121.17.28.15

未知195.22.127.93

www.windowsdefenderhost.club

198.54.117.244

update.windowsdefenderhost.club

107.148.195.71

d4uk.7h4uk.com

185.128.40.102

d4uk.7h4uk.com、update.7h4uk.com、 info.7h4uk.com

185.128.43.62

d4uk.7h4uk.com、update.7h4uk.com、 info.7h4uk.com

192.74.245.97

d4uk.7h4uk.com

87.121.98.215

未知172.247.116.8

未知從**中不難看出，早期wannamine所使用的載荷託管ip位址經常改變，並且通過網域名稱反查得到的網域名稱都是不同的，這表明wannamine可能使用殭屍網路中的某一台殭屍機用於託管載荷，每次進行更新後，wannamine就更換一台託管載荷的殭屍機。自107.148.195.71這個ip位址之後，wannamine使用的連續4個載荷託管位址都是網域名稱d4uk.7h4uk.com所解析到的位址，這種情況在之前是不存在的。而這個時間正是6月份wannamine進行更新的時間節點，這在360安全衛士每週安全形勢總結( 中提到過。在這次更新中，wannamine利用weblogic反序列化漏洞攻擊伺服器後植入挖礦木馬和ddos木馬。值得一提的是，這次wannamine還使用了剛剛面世不久的wmic攻擊來bypass uac和躲避防毒軟體的查殺。

圖3 wannamine 6月份發動的攻擊流程

在wannamine的這次更新中存在了多個疑點，這些疑點暗示此時的wannamine控制者可能與之前的明顯不同：

1.wannamine在3月份到4月份已經發起大規模針對weblogic服務端的攻擊，殭屍網路已經控制了許多weblogic服務端，為何在6月份的更新之後還要對weblogic服務端發起攻擊。

2.為何自6月份以來wannamine的載荷託管網域名稱都是d4uk.7h4uk.com。

通過對網域名稱d4uk.7h4uk.com的跟蹤可以發現，該網域名稱在2023年4月中旬開始被乙個黑客組織使用，這要遠早於wannamine對該網域名稱的使用，而該黑客組織在攻擊手法以及目的上也與wannamine大相徑庭。該黑客組織通過weblogic反序列化漏洞cve-2018-2628入侵伺服器，往伺服器中植入ddos木馬。ddos木馬的載荷託管位址為hxxp:這與wannamine釋放的ddos木馬的託管位址吻合。

圖4 該黑客組織使用的攻擊**

雖然載荷託管位址與之後wannamine使用的載荷託管位址相同，但是4月中旬的攻擊中所有攻擊檔案都是落地的並且沒有wannamine**的痕跡，其借助sct檔案實現持續駐留的方式也和wannamine借助wmi實現持續駐留的方式有所不同。可以斷定，這來自於與wannamine不同的另乙個黑客組織。

另外，從wannamine 6月份更新後的**特徵也不難發現，其**進行了略微修改，加入了runddos、killbot等多個函式，這些函式被插入了之前多個版本中都未被修改過的fun模組(fun模組用於進行橫向滲透)，並且與fun模組的原始功能非常不搭，此外 runddos中將ddos

木馬直接釋放到磁碟中，這也與wannamine風格不符。可以推斷，這次**的改動可能是為其他黑客組織提供乙個定製化的攻擊元件。

圖5 runddos函式內容

通過上述分析，可以總結出wannamine6月份更新之後的兩個特點：1.使用乙個其他黑客組織1個多月前使用過的載荷，並且此次更新使用的載荷託管位址和載荷檔案都與該黑客組織有關;2.更新後加入的**位置、**內容與之前的風格不符，有臨時定製化的可能。通過這兩個特點可以推斷，wannamine已經開始為其他黑客組織提供**。

結語讓控制的殭屍網路實現更多的利益產出是每個黑客組織期望的結果，wannamine的目的也是如此。高階殭屍網路商業化對於防禦者而言是一種挑戰，因為防禦者將會遇到越來越多使用其高超技術的黑客組織。wannamine的高超之處，在於其隱蔽而又有效的橫向滲透技術，這將是防禦者在對抗wannamine乃至使用wannamine的黑客組織需要重視的地方。

WannaMine再公升級，搖身一變成為軍火商？

複利計算再公升級

0414 複利計算再公升級

回味童年，經典掃雷再公升級

WannaMine再公升級，搖身一變成為軍火商？

複利計算再公升級

0414 複利計算再公升級

回味童年，經典掃雷再公升級

相關推薦