NanSh0u攻击活动样本分析
字数 1372 2025-08-18 11:38:45

NanSh0u攻击活动样本分析教学文档

1. 背景概述

NanSh0u是一种利用CVE-2014-4113漏洞进行提权的恶意攻击活动,主要通过创建具有SYSTEM权限的进程来下载和执行挖矿程序。本文档将详细分析该攻击样本的技术实现。

2. 分析环境准备

2.1 调试工具配置

  • Windbg:用于内核调试,在系统启动前加载整个操作系统
  • IDA:用于静态分析和动态调试样本

2.2 内核函数获取

攻击样本首先获取以下关键内核函数:

  1. PsLookupByProcessId

    • 作用:通过进程ID获取EPROCESS结构
    • 重要性:获取SYSTEM进程的EPROCESS结构以实现提权

  2. ZwQuerySystemInformation

    • 未公开函数,用于查询系统信息

  3. ZwAllocateVirtualMemory

    • 为后续提权操作分配tagWnd内存提供支持

3. CVE-2014-4113漏洞利用分析

3.1 漏洞原理

  • 漏洞类型:内核漏洞
  • 触发原因:内核处理窗口菜单消息时使用不正确的窗口句柄,调用固定内存地址的代码
  • 关键点:将-5(FFFFFFFB)作为合法tagWnd句柄处理

3.2 漏洞利用流程

  1. 创建窗口

    • 为漏洞利用准备窗口环境

  2. 内存分配

    • 在固定内存地址分配内存页
    • 准备tagWnd数据结构
    • 将shellcode写入tagWnd结构
    • 初始化tagWnd结构数据

  3. 菜单设置

    • 创建两级菜单
    • 设置窗口HOOK函数(pfnFilterProc)
    • 替换默认消息处理函数为dwNewLong

  4. 触发漏洞

    • 更改消息处理函数返回值设置为-5
    • 调用TrackPopupMenu模拟菜单事件
    • 在win32k!xxxMNFindWindowFromPoint函数下断点

  5. 漏洞触发后

    • xxxMNFindWindowFromPoint返回-5
    • -5被当作合法tagWnd句柄
    • 在win32k!xxxSendMessageTimeout中执行shellcode

3.3 Shellcode功能

  • 通过PsLookupByProcessId获取SYSTEM进程令牌
  • 修改当前进程令牌,获取SYSTEM权限

4. 后续攻击行为

  1. 创建SYSTEM权限进程

    • 以SYSTEM权限创建子进程
    • 从C&C服务器下载挖矿程序

  2. 挖矿行为

    • 在后台运行挖矿程序
    • 使用以下矿池:
      • lokiturtle.herominers.com
      • trtl.cnpool.cc
      • turtle.miner.rocks
      • trtl.pool.mine2gether.com

5. IOC指标

5.1 文件哈希

685f1cbd4af30a1d0c25f252d399a666
c5c99988728c550282ae76270b649ea1
70857e02d60c66e27a173f8f292774f1
68862438fae4c937107999ff9d8ff709
3ccb047b631ed6cab34ef11ccf43e47f
...(完整列表见原文)

5.2 C&C服务器

  • IP地址

    102.165.51.80
102.165.51.106
111.67.206.87
112.85.42.158
114.115.164.211
...(完整列表见原文)

  • 域名

    lokiturtle.herominers.com
trtl.cnpool.cc
turtle.miner.rocks
trtl.pool.mine2gether.com

6. 防护措施

  1. 安全意识

    • 不打开可疑文件、电子邮件和链接
    • 谨慎处理未知来源的文档

  2. 系统维护

    • 及时安装系统补丁
    • 使用最新版本软件

  3. 安全软件

    • 安装杀毒软件并保持病毒库更新
    • 部署端点检测与响应(EDR)解决方案

7. 技术总结

NanSh0u攻击活动展示了如何利用内核漏洞(CVE-2014-4113)实现权限提升,并通过创建高权限进程进行挖矿操作。攻击者通过精心构造的tagWnd结构和消息处理机制,成功绕过了内核的安全检查,最终实现了代码执行。防御此类攻击需要多层防护,包括补丁管理、行为监控和端点保护。

NanSh0u攻击活动样本分析教学文档 1. 背景概述 NanSh0u是一种利用CVE-2014-4113漏洞进行提权的恶意攻击活动,主要通过创建具有SYSTEM权限的进程来下载和执行挖矿程序。本文档将详细分析该攻击样本的技术实现。 2. 分析环境准备 2.1 调试工具配置 Windbg :用于内核调试,在系统启动前加载整个操作系统 IDA :用于静态分析和动态调试样本 2.2 内核函数获取 攻击样本首先获取以下关键内核函数: PsLookupByProcessId : 作用:通过进程ID获取EPROCESS结构 重要性:获取SYSTEM进程的EPROCESS结构以实现提权 ZwQuerySystemInformation : 未公开函数,用于查询系统信息 ZwAllocateVirtualMemory : 为后续提权操作分配tagWnd内存提供支持 3. CVE-2014-4113漏洞利用分析 3.1 漏洞原理 漏洞类型 :内核漏洞 触发原因 :内核处理窗口菜单消息时使用不正确的窗口句柄,调用固定内存地址的代码 关键点 :将-5(FFFFFFFB)作为合法tagWnd句柄处理 3.2 漏洞利用流程 创建窗口 : 为漏洞利用准备窗口环境 内存分配 : 在固定内存地址分配内存页 准备tagWnd数据结构 将shellcode写入tagWnd结构 初始化tagWnd结构数据 菜单设置 : 创建两级菜单 设置窗口HOOK函数(pfnFilterProc) 替换默认消息处理函数为dwNewLong 触发漏洞 : 更改消息处理函数返回值设置为-5 调用TrackPopupMenu模拟菜单事件 在win32k !xxxMNFindWindowFromPoint函数下断点 漏洞触发后 : xxxMNFindWindowFromPoint返回-5 -5被当作合法tagWnd句柄 在win32k !xxxSendMessageTimeout中执行shellcode 3.3 Shellcode功能 通过PsLookupByProcessId获取SYSTEM进程令牌 修改当前进程令牌,获取SYSTEM权限 4. 后续攻击行为 创建SYSTEM权限进程 : 以SYSTEM权限创建子进程 从C&C服务器下载挖矿程序 挖矿行为 : 在后台运行挖矿程序 使用以下矿池: lokiturtle.herominers.com trtl.cnpool.cc turtle.miner.rocks trtl.pool.mine2gether.com 5. IOC指标 5.1 文件哈希 5.2 C&C服务器 IP地址 : 域名 : 6. 防护措施 安全意识 : 不打开可疑文件、电子邮件和链接 谨慎处理未知来源的文档 系统维护 : 及时安装系统补丁 使用最新版本软件 安全软件 : 安装杀毒软件并保持病毒库更新 部署端点检测与响应(EDR)解决方案 7. 技术总结 NanSh0u攻击活动展示了如何利用内核漏洞(CVE-2014-4113)实现权限提升,并通过创建高权限进程进行挖矿操作。攻击者通过精心构造的tagWnd结构和消息处理机制,成功绕过了内核的安全检查,最终实现了代码执行。防御此类攻击需要多层防护,包括补丁管理、行为监控和端点保护。