本文详细介绍了永恒之蓝下载器木马K8H3D的最新变种,其增加了MS SQL爆破攻击、密码字典更新以及样本文件签名等功能。该木马通过多种攻击手段,包括永恒之蓝漏洞、SMB和MsSQL爆破等,持续演变其攻击方式。同时提供了安全建议和IOCs。
https://weibo.com/ttarticle/p/show?id=2309404344350225132710
永恒之蓝下载器木马又双叒叕升级了新的攻击方式
背景
腾讯安全御见威胁情报中心于2019年2月25日发现曾利用驱动人生公司升级渠道发起供应链攻击的永恒之蓝下载器木马再次更新。此次更新仍然在攻击模块,在此前新增MS SQL爆破攻击的基础上,更新爆破密码字典,然后将使用mimiktaz搜集登录密码并添加到字典,并利用该字典进行SMB爆破攻击、MS SQL爆破攻击。同添加了永恒之蓝漏洞攻击后木马启动代码、攻击进程执行状态检查代码,并尝试对木马文件添加签名认证。
这个“永恒之蓝”木马下载器黑产团伙自供应链攻击得手之后,一直很活跃,期间不断更新调整木马攻击方式,蠕虫式传播的特点不断增强。
以下是该团伙主要活动情况的时间线:
2018年12月14日
利用“驱动人生”系列软件升级通道下发,利用“永恒之蓝”漏洞攻击传播。
2018年12月19日
下发之后的木马新增PowerShell后门安装。
2019年1月09日
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装PowerShell后门。
2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装PowerShell计划任务和hta计划任务。
2019年2月10日
将攻击模块打包方式改为Pyinstaller.
2019年2月20日
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。
2019年2月23
最低0.47元/天 解锁文章
扫一扫
2475
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
