高危预警:永恒之蓝下载器木马再更新,集成BlueKeep漏洞攻击能力

2019-10-16 09:15:29
腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年10月09日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。

一、概述

腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于20191009日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。CVE-2019-0708RDP远程代码执行漏洞,该漏洞危害影响极大,只要联网,存在漏洞的系统就可能被黑客完全控制。并有可能形成类似wannacry蠕虫式病毒的攻击传播, 腾讯安全建议企业用户及时安装相关补丁并启用安全软件防御攻击。

值得注意的是,此次更新增加了Bluekeep漏洞的检测功能,检测到后只是上报漏洞信息并没有进一步的攻击动作,但永恒之蓝木马下载器自2018年底出现以来,已频繁更新了近20个版本,不排除该病毒的控制者随时启动Bluekeep漏洞进行攻击的可能。

另据腾讯安全御见威胁情报中心的监测数据,截止目前,永恒之蓝相关漏洞未修复的比例接近30%,而BlueKeep漏洞未修复的比例接近20%Bluekeep漏洞影响Windows 7xpServer 20032008等多个操作系统版本。

更新后“永恒之蓝下载器”木马主要特点:

1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击,sql爆破攻击等功能,并在攻击成功的目标机器上植入旧的攻击模块ipc.jsp

2、新增了BlueKeep漏洞检测代码,目前检测到漏洞后只上报信息没有进一步的攻击动作。

3、在攻击成功后的机器上安装计划任务执行多个Powershell后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp,下载执行新的攻击模块if.bin

变种木马攻击流程图如下,其中橙色为新增攻击。

二、详细分析

攻击模块if.bin经过多次混淆加密, 去混淆解密后分析,其主要功能是进行SMB,Mssql爆破攻击,利用永恒之蓝漏洞进行入侵攻击,入侵成功后安装旧版本的ipc.jsp,及多个新版本的后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp/ms.jsp

解混淆后的jsp下载地址经过了base64加密,解码后下载地址如下:



这些攻击后门功能基本一致, rdp.jsp为例进行分析,解密解混淆后的rdp.jsp代码如下,其主要功能是通过多层下载得到攻击模块if.bin及挖矿模块,攻击模块if.binPowershell脚本,会被安装为计划任务持久化下载执行。


本次更新主要变化

本次更新主要变化包括: 下载执行新版本的jsp文件, 下载地址:

http[:]//t.zer2.com/rdp.jsp

http[:]//t.zer2.com/rdpo.jsp

http[:]//t.zer2.com/ms.jsp

http[:]//t.zer2.com/v.jsp

http[:]//t.zer2.com/mso.jsp

新增了Bluekeep漏洞CVE-2019-0708的检测及上报功能,目前检测到后会上报漏洞信息,

没有进一步的攻击动作。


Bluekeep漏洞CVE-2019-0708检测函数,和网上公开的Bluekeep漏洞检测代码逻辑基本一致。


“永恒之蓝下载器”木马历史变种版本回顾


三、安全建议

1.CVE-2019-0708 RDP服务远程代码执行漏洞

参考微软官方公告安装补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

2MS010-17 “永恒之蓝”漏洞

服务器暂时关闭不必要的端口(如135139445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞

XPWindowsServer2003win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7win8.1WindowsServer 2008Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

4、企业用户可使用腾讯御点终端安全管理系统拦截病毒攻击;


5、推荐企业用户部署腾讯御界高级威胁检测系统及时发现黑客攻击。

                    

IOCs

Md5

e7633ed33e30f6b0cea833244138dd77

415aae4f26158a16f2d6a5896b36e2a8

eab61163cd93ba0cbbd38d06e199f1ab

c72dd126281aba416b666de46337c1d7


URL:

http[:]//down.ackng.com/if.bin

http[:]//down.ackng.com/m6.bin

http[:]//down.ackng.com/m3.bin

http[:]//t.zer2.com/rdp.jsp

http[:]//t.zer2.com/rdpo.jsp

http[:]//t.zer2.com/ipc.jsp

http[:]//t.zer2.com/ms.jsp

http[:]//t.zer2.com/v.jsp

http[:]//t.zer2.com/mso.jsp

最新资讯