产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御验证码
T-Sec 天御文本内容安全
T-Sec 天御视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
一站式等保服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→
解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
品牌保护解决方案
高防云主机安全解决方案
腾讯安心平台解决方案
行业场景方案
游戏安全场景方案
电商安全场景方案
智慧零售场景方案
智慧出行场景方案
安全专项解决方案
勒索病毒专项解决方案
重大保障安全解决方案
HOT
最新动态
威胁研究
合作伙伴
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
联系我们
产品方案咨询
寻求市场合作
友情链接
腾讯云

威胁研究

正文

永恒之蓝木马下载器开创“无文件挖矿”新模式

2019-04-04 06:13:00

腾讯安全御见威胁情报中心4月3日检测到永恒之蓝下载器木马再次更新，此次更新改变了原有的挖矿木马执行方式，通过在Powershell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。

概述

腾讯安全御见威胁情报中心4月3日检测到永恒之蓝下载器木马再次更新，此次更新改变了原有的挖矿木马执行方式，通过在Powershell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地，直接在Powershell.exe进程中运行，可能造成难以检测和清除。

永恒之蓝木马下载器堪称2018-2019年度病毒劳模，自诞生一来，已逐步形成每周更新的传统。以下是“永恒之蓝”木马下载器黑产团伙活动情况时间线：

2018年12月14日	利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。
2018年12月19日	下载之后的木马新增Powershell后门安装。
2019年1月09日	检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日	木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。
2019年1月25日	木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。
2019年2月10日	将攻击模块打包方式改为Pyinstaller.
2019年2月20日	更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。
2019年2月23日	攻击方法再次更新，新增MsSQL爆破攻击。
2019年2月25日	在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。
2019年3月6日	通过已感染机器后门更新Powershell脚本横向传播模块ipc。
2019年3月8日	通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。
2019年3月14日	通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。
2019年3月28日	更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。
2019年4月3日	开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行