永恒之蓝下载器木马再更新

腾讯电脑管家

​​腾讯电脑管家监测发现，2018年最初利用驱动人生升级渠道传播的永恒之蓝下载器木马又有新动向，其在攻击方法方面没有较大变化，仍然利用“永恒之蓝”漏洞攻击、SMB爆破结合远程执行工具psexec攻击、利用Powershell版mimikatz获取域密码。但在样本中发现了以下变化：

1、木马生成方式改变

攻击模块(C:\Windows\Temp\svchost.exe)的打包方式由的py2exe生成替换为使用Pyinstaller生成。第一种情况下只需使用winrar解压即可获取python源文件，此次变化后需要通过Pyinstaller的解压模块pyinstxtractor.py在python环境下进行恢复，增加了分析成本。使用pyinstxtractor.py对该文件进行恢复后，释放出了了349个python编译文件。

2、攻击模块新增代码

2019年1月25日更新后的代码目录

2019年2月10日更新后的代码目录

将前后进行对比可以发现，最新的样本解压目录中新增了email包、json包以及_LWPCookieJar.pyc、_MozillaCookieJar.pyc、cookielib.pyc、ftplib.pyc、httplib.pyc、urlib.pyc等多个文件。新增的模块可用于解析邮件、搜集用户Cookie信息、登录FTP服务、发送HTTP请求等操作。

IOCs

bc26fd7a0b7fe005e116f5ff2227ea4d