查看: 3802|回复: 0
收起左侧

[技术原创] 来自“蓝茶”的问候:“你是不是疯了”,暗藏新的攻击手法

[复制链接]
腾讯电脑管家
发表于 2020-4-22 23:02:47 | 显示全部楼层 |阅读模式
本帖最后由 腾讯电脑管家 于 2020-4-22 23:02 编辑

一、背景
腾讯安全威胁情报中心检测到“蓝茶行动”攻击于0417日进行了更新,此次更新在钓鱼邮件附件中加入了“readme.zip”,解压后是一个恶意的JS文件“readme.js”,同时该js执行过程中还加入了ByPass UAC功能(UACWindows自Vista之后引入的安全特性)。

“蓝茶行动”攻击实际上是“永恒之蓝”下载器木马,由于该木马最新的版本在攻击过程中会安装名为“bluetea”的计划任务而被命名。

“永恒之蓝”下载器木马出现于201812月,最初利用驱动人生升级通道下载木马感染大量机器,并具备利用“永恒之蓝”漏洞在内网进行快速传播的功能,木马通过在感染机器上植入门罗币挖矿木马获利。

该木马至今处于不断活跃中,自诞生以来已不断更新了一年多,目前该木马已具备多种方法横向扩散的能力:
1.“永恒之蓝”漏洞利用MS17-010
2.Lnk漏洞利用CVE-2017-8464
3.Office漏洞利用CVE-2017-8570
2.$IPC爆破
3.SMB爆破
4.MS SQL爆破
5.RDP爆破
6.感染可移动盘、网络磁盘
7.钓鱼邮件(已使用多种不同诱饵主题:包括使用新冠病毒疫情相关主题)

附:永恒之蓝木马下载器主要版本更新列表:


二、详细分析
“永恒之蓝”下载器木马的钓鱼邮件攻击传播功能在2020.04.03开始出现,并且攻击时投递的邮件附件为“urgent.doc”,该文档附带Office漏洞CVE-2017-8570,漏洞触发后执行恶意Powershell代码。https://mp.weixin.qq.com/s/YdoACRlHdQDYS6hjSgx1PA

04.17日检测到的钓鱼邮件中,附件中新增了包含恶意JS代码的压缩包“readme.zip”。邮件主题由之前的新冠肺炎疫情变成了“What the f**k”,邮件内容为:“are you out of your mind!!!!!what 's wrong with you?”
翻译: “你是不是疯了!!!!!你怎么了?”

附件压缩包解压文件为“readme.js”。

JS文件开头为“//This File is broken.”,中间被插入大段空白,真正的恶意代码在最尾部。


恶意脚本代码首先利用notepad打开文本,由于显示的局限性,打开的文本框只能看到“//This File is broken.”,病毒以此来迷惑用户,隐藏其恶意行为。

脚本实际上在后台执行Powershell,根据当前系统主版本号判断是否为Win10系统,如果是则直接下载执行
http[:]//t.awcna.com/mail.jsp?js*%username%*%computername%,如果低于Win10,则通过http[:]//t.awcna.com/7p.php进行ByPass UAC操作,然后再下载执行mail.jsp。

7p.php 中实现了多种Bypass uac方法,此处使用的为通过劫持目标程序: C:\Windows\System32\migwiz\migwiz.exe,使得木马DLL以超级管理员权限执行的方法。
(UAC,为用户帐户控制,是微软在 Windows Vista 以后版本引入的一种安全机制,通过 UAC,应用程序和任务可始终在非管理员帐户的安全上下文中运行,除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装,并防止无意中更改系统设置。)

Mail.jsp的内容与之前相同,会会修改hosts文件,将随机产生的DGA域名指向病毒使用的服务器地址,然后安装一个随机名计划任务,执行命令为“PS_CMD”;安装一个名为bluetea的计划任务,执行命令为:“bluetea”,并且将随机名计划任务对应的内容设置为下载和执行http[:]//t.awcna.com/x.jsx.js继续下载和执行x.jsp。

x.jsp负责下载攻击模块if.bin执行传播功能,下载门罗币挖矿模块m6.binm6g.bin,并通过Powershell的Invoke-ReflectivePEInjection内存执行XMR挖矿木马,木马下载使用的最新地址已经更换为d.ackng.com。

攻击模块if.bin中除了已经披露过的攻击方法外,在SMB爆破后上传至启动项目录的bat脚本文件中也增加了Bypass UAC代码7p.php。

If.bin在感染可移动盘、网络共享磁盘时,除了创建具有CVE-2017-8464漏洞的Lnk文件之外,还会创建创建readme.js(与在钓鱼邮件攻击中使用的相同),该文件可能在用户打开U盘或访问共享磁盘时被误点击运行。

此外,最新的Office漏洞CVE-2017-8570的诱饵文档urgent.doc已经更换为“readme.doc”,并且漏洞触发后执行的代码也添加了与readme.js中相同的Bypass UAC模块7p.php。


三、安全建议
1. 建议企业网管将邮件主题为“What the f**ck”,邮件附件名为“readme.zip”的邮件设置屏蔽;

2. 建议用户不要轻易打开不明来源的邮件附件,对于邮件附件中的文件要格外谨慎运行,如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描;

3. 服务器使用安全的密码策略,特别是IPC$、MSSQL、RDP账号密码,切勿使用弱口令,避免遭遇弱密码爆破攻击;

4. 根据微软安全公告及时修复Windows、Office高危漏洞,推荐使用腾讯御点或腾讯电脑管家进行漏洞扫描和修复(https://s.tencent.com/product/yd/index.html),或采用Windows Update进行;

5. 推荐企业用户部署腾讯T-Sec高级威胁检测系统(腾讯御界)对黑客攻击行为进行检测。腾讯T-Sec高级威胁检测系统,是基于腾讯安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统,该系统可及时有效检测黑客对企业网络的各种入侵渗透攻击风险。参考链接:https://cloud.tencent.com/product/nta


IOCs
Md5
6965aa9a1ee2b04496d89a6bbcdb37ff
7c029c86ca1aba2d269bc5c43418cc75
a3cf8550866fbaaf8d98566243b78758

Domain
d.ackng.com
t.awcna.com
t.tr2q.com
t.amynx.con

URL
http[:]//d.ackng.com/mg6.bin
http[:]//d.ackng.com/if.bin
http[:]//t.awcna.com/mail.jsp
http[:]//t.awcna.com/x.js
http[:]//t.awcna.com/x.jsp
http[:]//t.awcna.com/7p.php

参考链接:
https://mp.weixin.qq.com/s/YdoACRlHdQDYS6hjSgx1PA
https://mp.weixin.qq.com/s/wsi2HvRtG5iIJ70YutsMKQ

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 11:11 , Processed in 0.130434 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表