永恒之蓝下载器最新变种重启EXE文件攻击,新变

腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种,此次变种利用Python打包EXE可执行文件进行攻击,该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示,永恒之蓝下载器最新变种出现之后便迅速传播,目前已感染约1.5万台服务器,中毒系统最终用于下载运行门罗币挖矿木马。 

永恒之蓝下载器木马在不断演进更新过程中,曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后,该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中,并对Powershell中相关代码进行屏蔽。 

被本次变种攻击失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播,同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿,会给受害企业造成严重生产力损失。 

附:永恒之蓝下载器木马历次版本更新情况如下: 

时间

 

主要功能更新

 

2018年12月14日

 

利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播。

 

2018年12月19日

 

下载之后的木马新增Powershell后门安装。

 

2019年1月9日

 

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。

 

2019年1月24日

 

木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。

 

2019年1月25日

 

木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务。

 

2019年2月10日

 

将攻击模块打包方式改为Pyinstaller。

 

2019年2月20日

 

更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。

 

2019年2月23日

 

攻击方法再次更新,新增MsSQL爆破攻击。

 

2019年2月25日

 

在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。

 

2019年3月6日

 

通过已感染机器后门更新Powershell脚本横向传播模块ipc。

 

2019年3月8日

 

通过已感染机器后门更新PE文件横向传播模块ii.exe,采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。

 

2019年3月14日

 

通过后门更新增肥木马大小、生成随机文件MD5逃避查杀,将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。

 

2019年3月28日

 

更新无文件攻击模块,更后新的攻击方式为:永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。

 

2019年4月3日

 

开创无文件挖矿新模式:挖矿脚本由PowerShell下载在内存中执行。

 

2019年7月19日

 

无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击,感染启动盘和网络共享盘,新增MsSQL爆破攻击。

 

2019年10月9日

 

新增Bluekeep漏洞CVE-2019-0708检测上报功能。

 

2020年2月12日

 

使用DGA域名,篡改hosts文件。

 

2020年4月3日

 

新增钓鱼邮件传播,邮件附件urgent.doc包含Office漏洞CVE-2017-8570。

 

2020年4月17日

 

钓鱼邮件新增附件readme.zip、readme.doc,新增Bypass UAC模块7p.php,创建readme.js文件感染可移动盘、网络共享盘

 

2020年5月21日

 

新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH爆破代码(未调用)。

 

2020年6月10日

 

新增SMBGhost漏洞CVE-2020-0796利用攻击,新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。

 

2020年6月24日

 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/0098d001e007d461a93d65e7b8b0a19c.html