• 产品中心

    产品中心

    • 基础安全

      T-Sec 主机安全

      容器安全服务 TCSS

      T-Sec Web应用防火墙

      T-Sec 云防火墙

      T-Sec 安全运营中心

      T-Sec iOA零信任安全管理系统

    • 业务安全

      T-Sec 天御 验证码

      T-Sec 天御 文本内容安全

      T-Sec 天御 视频内容安全

      T-Sec 全栈式风控引擎

      T-Sec 手游安全

      T-Sec 小程序安全

      T-Sec 应用合规平台

    • 数据安全

      T-Sec 堡垒机

      T-Sec 数据安全审计

      T-Sec 云访问安全代理

      T-Sec 凭据管理系统

      T-Sec 密钥管理系统

      T-Sec 云加密机

      T-Sec 数据安全治理中心

    • 安全服务

      T-Sec 安全专家服务

      一站式等保服务

      T-Sec 安全托管服务

      渗透测试服务

      应急响应服务

      重要时期安全保障服务

      安全攻防对抗服务

    了解全部安全产品

  • 解决方案

    解决方案

    • 通用解决方案

      等保合规安全解决方案

      直播安全解决方案

      数据安全解决方案

      品牌保护解决方案

      高防云主机安全解决方案

      腾讯安心平台解决方案

    • 行业场景方案

      游戏安全场景方案

      电商安全场景方案

      智慧零售场景方案

      智慧出行场景方案

    • 安全专项解决方案

      勒索病毒专项解决方案

      重大保障安全解决方案

  • 更多

    更多

    • 关于我们

      腾讯安全介绍

      荣誉认证

    • 帮助中心

      帮助文档

    • 考试认证

      在线课堂

      证书查询

    • 联系我们

      产品方案咨询

      寻求市场合作

    • 友情链接

      腾讯云

威胁研究正文

高危预警:永恒之蓝下载器木马再更新,集成BlueKeep漏洞攻击能力

2019-10-16 01:15:29

腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年10月09日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。

一、概述

腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于20191009日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。CVE-2019-0708RDP远程代码执行漏洞,该漏洞危害影响极大,只要联网,存在漏洞的系统就可能被黑客完全控制。并有可能形成类似wannacry蠕虫式病毒的攻击传播, 腾讯安全建议企业用户及时安装相关补丁并启用安全软件防御攻击。

值得注意的是,此次更新增加了Bluekeep漏洞的检测功能,检测到后只是上报漏洞信息并没有进一步的攻击动作,但永恒之蓝木马下载器自2018年底出现以来,已频繁更新了近20个版本,不排除该病毒的控制者随时启动Bluekeep漏洞进行攻击的可能。

另据腾讯安全御见威胁情报中心的监测数据,截止目前,永恒之蓝相关漏洞未修复的比例接近30%,而BlueKeep漏洞未修复的比例接近20%Bluekeep漏洞影响Windows 7xpServer 20032008等多个操作系统版本。

更新后“永恒之蓝下载器”木马主要特点:

1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击,sql爆破攻击等功能,并在攻击成功的目标机器上植入旧的攻击模块ipc.jsp

2、新增了BlueKeep漏洞检测代码,目前检测到漏洞后只上报信息没有进一步的攻击动作。

3、在攻击成功后的机器上安装计划任务执行多个Powershell后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp,下载执行新的攻击模块if.bin

变种木马攻击流程图如下,其中橙色为新增攻击。

二、详细分析

攻击模块if.bin经过多次混淆加密, 去混淆解密后分析,其主要功能是进行SMB,Mssql爆破攻击,利用永恒之蓝漏洞进行入侵攻击,入侵成功后安装旧版本的ipc.jsp,及多个新版本的后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp/ms.jsp

解混淆后的jsp下载地址经过了base64加密,解码后下载地址如下:



这些攻击后门功能基本一致, rdp.jsp为例进行分析,解密解混淆后的rdp.jsp代码如下,其主要功能是通过多层下载得到攻击模块if.bin及挖矿模块,攻击模块if.binPowershell脚本,会被安装为计划任务持久化下载执行。


本次更新主要变化

本次更新主要变化包括: 下载执行新版本的jsp文件, 下载地址:

http[:]//t.zer2.com/rdp.jsp

http[:]//t.zer2.com/rdpo.jsp

http[:]//t.zer2.com/ms.jsp

http[:]//t.zer2.com/v.jsp

http[:]//t.zer2.com/mso.jsp

新增了Bluekeep漏洞CVE-2019-0708的检测及上报功能,目前检测到后会上报漏洞信息,

没有进一步的攻击动作。


Bluekeep漏洞CVE-2019-0708检测函数,和网上公开的Bluekeep漏洞检测代码逻辑基本一致。


“永恒之蓝下载器”木马历史变种版本回顾


三、安全建议

1.CVE-2019-0708 RDP服务远程代码执行漏洞

参考微软官方公告安装补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

2MS010-17 “永恒之蓝”漏洞

服务器暂时关闭不必要的端口(如135139445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞

XPWindowsServer2003win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7win8.1WindowsServer 2008Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

4、企业用户可使用腾讯御点终端安全管理系统拦截病毒攻击;


5、推荐企业用户部署腾讯御界高级威胁检测系统及时发现黑客攻击。

                    

IOCs

Md5

e7633ed33e30f6b0cea833244138dd77

415aae4f26158a16f2d6a5896b36e2a8

eab61163cd93ba0cbbd38d06e199f1ab

c72dd126281aba416b666de46337c1d7


URL:

http[:]//down.ackng.com/if.bin

http[:]//down.ackng.com/m6.bin

http[:]//down.ackng.com/m3.bin

http[:]//t.zer2.com/rdp.jsp

http[:]//t.zer2.com/rdpo.jsp

http[:]//t.zer2.com/ipc.jsp

http[:]//t.zer2.com/ms.jsp

http[:]//t.zer2.com/v.jsp

http[:]//t.zer2.com/mso.jsp

  • 产品方案

    • 产品中心

  • 威胁研究

    • 威胁通告
    • 研究报告

  • 合作伙伴

    • 合作伙伴详情

  • 其他

    • 腾讯安全介绍
    • 新闻活动
    • 在线课堂

  • 友情链接

    • 腾讯云

腾讯安全公众号

腾讯安全视频中心

Copyright©1998-2024 Tencent. All Rights Reserved.

在线咨询

方案定制