– 作者:腾讯电脑管家

一、概述

腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年10月09日再次更新，本次更新新增了Bluekeep漏洞（CVE-2019-0708）检测利用。CVE-2019-0708为RDP远程代码执行漏洞，该漏洞危害影响极大，只要联网，存在漏洞的系统就可能被黑客完全控制。并有可能形成类似wannacry蠕虫式病毒的攻击传播，腾讯安全建议企业用户及时安装相关补丁并启用安全软件防御攻击。 

值得注意的是，此次更新增加了Bluekeep漏洞的检测功能，检测到后只是上报漏洞信息并没有进一步的攻击动作，但永恒之蓝木马下载器自2018年底出现以来，已频繁更新了近20个版本，不排除该病毒的控制者随时启动Bluekeep漏洞进行攻击的可能。 

另据腾讯安全御见威胁情报中心的监测数据，截止目前，永恒之蓝相关漏洞未修复的比例接近30%，而BlueKeep漏洞未修复的比例接近20%。Bluekeep漏洞影响Windows 7、xp、Server 2003、2008等多个操作系统版本。 

更新后“永恒之蓝下载器”木马主要特点：

1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击，sql爆破攻击等功能，并在攻击成功的目标机器上植入旧的攻击模块ipc.jsp。 

2、新增了BlueKeep漏洞检测代码，目前检测到漏洞后只上报信息没有进一步的攻击动作。 

3、在攻击成功后的机器上安装计划任务执行多个Powershell后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp，下载执行新的攻击模块if.bin。 

变种木马攻击流程图如下，其中橙色为新增攻击。

 

二、详细分析

攻击模块if.bin经过多次混淆加密, 去混淆解密后分析，其主要功能是进行SMB,Mssql爆破攻击，利用永恒之蓝漏洞进行入侵攻击，入侵成功后安装旧版本的ipc.jsp，及多个新版本的后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp/ms.jsp。 

解混淆后的jsp下载地址经过了base64加密，解码后下载地址如下:

 

 

这些攻击后门功能基本一致, 以rdp.jsp为例进行分析，解密解混淆后的rdp.jsp代码如下,其主要功能是通过多层下载得到攻击模块if.bin及挖矿模块，攻击模块if.bin为Powershell脚本，会被安装为计划任务持久化下载执行。

 

本次更新主要变化

本次更新主要变化包括: 下载执行新版本的jsp文件, 下载地址:

http[:]//t.zer2.com/rdp.jsp

http[:]//t.zer2.com/rdpo.jsp

http[:]//t.zer2.com/ms.jsp

http[:]//t.zer2.com/v.jsp

http[:]//t.zer2.com/mso.jsp

 

新增了Bluekeep漏洞CVE-2019-0708的检测及上报功能，目前检测到后会上报漏洞信息，

没有进一步的攻击动作。

Bluekeep漏洞CVE-2019-0708检测函数，和网上公开的Bluekeep漏洞检测代码逻辑基本一致。

 

“永恒之蓝下载器”木马历史变种版本回顾

 

三、安全建议

1.CVE-2019-0708 RDP服务远程代码执行漏洞

参考微软官方公告安装补丁：https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

2、MS010-17 “永恒之蓝”漏洞

服务器暂时关闭不必要的端口（如135、139、445），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html

下载并更新Windows系统补丁，及时修复永恒之蓝系列漏洞

XP、WindowsServer2003、win8等系统访问：http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

Win7、win8.1、WindowsServer2008、Windows 10,WindowsServer2016等系统访问：https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

3、服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；

4、企业用户可使用腾讯御点终端安全管理系统拦截病毒攻击；

5、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。

              

IOCs

MD5

e7633ed33e30f6b0cea833244138dd77

415aae4f26158a16f2d6a5896b36e2a8

eab61163cd93ba0cbbd38d06e199f1ab

c72dd126281aba416b666de46337c1d7

 

URL:

http[:]//down.ackng.com/if.bin

http[:]//down.ackng.com/m6.bin

http[:]//down.ackng.com/m3.bin

http[:]//t.zer2.com/rdp.jsp

http[:]//t.zer2.com/rdpo.jsp

http[:]//t.zer2.com/ipc.jsp

http[:]//t.zer2.com/ms.jsp

http[:]//t.zer2.com/v.jsp

http[:]//t.zer2.com/mso.jsp

来源：freebuf.com 0000-00-00 00:00:00 by: 腾讯电脑管家