原文地址：https://mp.weixin.qq.com/s/vbDm_Cub4cHdPY8HW_Ickg

前几天接多地反馈,服务器被入侵,追究到文件STUPdater.exe这个身上,目前安装DBNT的用户如果中招了,微信应该收到告警信息了.这个入侵的具体想做什么就不分析了.很多人不知道怎么入侵进来的.

我们通过调服务器日志,调取上网记录,视频监控等方法最终猜确定是有人到网吧上机后,执行了特定的成品入侵工具进行入侵的.

首先该攻击针对目前网吧三大管理平台:顺网 易乐游 云更新

从以上代码也可以观察到针对的三大平台.

下面我们以顺网系的日志讲解为主:

我们看到日志里含有 OnRecvBsAgentLoginPkt登陆等字样,基本可以确定此时开始执行的入侵,日志往上翻出现了局域网广播包,我们猜测应该是入侵工具在寻找顺网无盘产品的主服务器.

当登陆日志出现后,基本可以确定,入侵工具已经开始正式的执行了,version版本显示重复ab字样应该是模拟登陆的,入侵的关键点应该就在此处.version后显示的登陆机器IP 来自于网吧局域网的IP,我们通过查询发现该用户上机是临时卡的方式,且只上机了5分钟就下机了.

此时我们再次来看日志,发现了上传了程序,Rev File表示接收到了相关文件,此时我们再去寻找这个文件的时候发现文件已经不存在,猜测应该是执行完毕之后删除了.只留存了文件夹.

从上面可以观察到创建文件的时间.与日志基本吻合.具体的日志相关我们就分析到此.不再深入探讨.

上面是我们通过计费查询到的登陆上机信息.关键部分已经自动星号显示,以上上机信息与本事件无关,传错了图片

然后我们再去查一台安装了sysmon的服务器.日志部分不再截图显示基本与上方相同.

sysmon日志的开始是替换了TransferFilePatch.exe,等我们查这个文件的时候,这个文件已经没任何问题,数字签名都是正常的.

这个时候开始执行了STUPdater.exe程序,这个程序会释放远程工具.

这个时候开始添加任务计划.

这个时候入侵的程序已经能完全控制服务器了.服务器已经成为了傀儡,我们从逆向分析中暂时未发现程序执行了其他操作,因为服务器已经成为了傀儡随时接受云端的指令.

到此,基本分析已经差不多,目前暂时还未研究相关解决方案,当然等待三大产商的解决方案是最保险的.目前从日志看来以封堵相关产品端口最为安全.具体封堵什么端口还需要大家自行研究.

最后提示大家:这次入侵皆有人到网吧内上机执行了恶意程序,并非所谓的远程入侵.没有必要这么恐慌.

感谢收看.谢谢~