2019年5月22日,奇安信威胁情报中心红雨滴团队发现永恒之蓝下载器木马再次更新,更新后程序连接新远程服务器下载恶意代码执行,恶意代码也启用新矿池地址进行挖矿。
更新由驻留在机器中的计划任务完成,该计划任务执行powershelll命令连接到新域名下载恶意代码并执行。powershell代码通过zlib压缩后使用base64编码,执行时解码,解码后数据如下:
这段恶意代码以随机字符串作为计划任务名创建三个新计划任务,这三个计划任务从url 'http://t.zer2.com/v.js'、'http://t.awcna.com/v.js'及'http://t.amxny.com/v.js'下载恶意powershell代码并执行。本次更新中,计划任务的内容不再直接体现在命令行中,而是被写入一个名为tempfle.txt的计划任务配置文件中并将该文件以参数的形式传递给计划任务管理器,防止安全软件通过命令行特征对其进行拦截。此外,此次更新会在创建新计划任务的同时,删除之前创建的计划任务。
以目前存活的url ‘http://t.zer2.com/v.jsp‘为例,新计划任务执行Powershell命令访问url http://t.zer2.com/v.jsp下载下一阶段payload,该payload同样通过zlib压缩后使用base64编码。执行时一方面通过访问http://t.zer2.com/report.jsp更新脚本,另一方面从down.ackng.com根据操作系统的版本下载挖矿及传播模块。
挖矿模块复用Invoke-ReflectivePEInjection项目代码(https://github.com/PowerShellMafia/PowerSploit/blob/master/CodeExecution/Invoke-ReflectivePEInjection.ps1),将xmrig挖矿软件反射注入到powershell的内存中执行,矿池地址为lpp.zer2.com,lpp.ackng.com
Xmrig在命令行情况下执行示意图
传播模块和之前的版本相同,包含ipc爆破、mssql扫描、smb爆破功能,爆破成功后进入远程计算机创建名为Rtsa及Rtas的计划任务继续执行挖矿及传播功能。最后,恶意代码将攻击成功计算机信息发送至远程服务器down.ackng.com。
防护建议
针对永恒之蓝下载器活跃事件,奇安信威胁情报中心总结出以下木马处置流程可供参考:
1、 已攻陷主机排查与查杀处置
1) 通过天眼或天擎扫描排查已攻陷范围
2) 对于已攻陷主机通过天擎或专杀工具进行查杀。
2、 潜在威胁范围确定与应急处置:
1) 有些终端可能已经中招但已经关机,通过天擎的终端软件排查有哪些终端安装了永恒之蓝下载器,对这些终端进行病毒查杀,同时卸载永恒之蓝下载器。
2) 防止扩散或被C2的处置措施,在网络出口封堵相关风险域名和C2 域名和IP(详见附件)
3、 其他防御措施:
1) 对于重点服务器和主机,做好网络安全域划分并及时打MS17-010漏洞补丁,防止利用此漏洞的横向攻击。
2) 开启Windows防火墙,尽量关闭3389、445、139、135等不用的高危端口。
3) 每台服务器设置唯一口令,且复杂度要求采用大小写字母、数字、特殊符号混合的组合结构,口令位数足够长(15位、两种组合以上)。
4) 部署全流量监测设备(天眼),及时发现恶意网络流量,进一步追踪溯源。
IOC
t.zer2.com
t.awcna.com
t.amxny.com
down.ackng.com
http://t.zer2.com/v.js
http://t.awcna.com/v.js
http://t.amxny.com/v.js
http://t.zer2.com/v.jsp
http://down.ackng.com/m6.bin
http://down.ackng.com/m6.bin
http://down.ackng.com/if.bin
http://t.zer2.com/ms.jsp
http://t.zer2.com/eb.jsp
矿池地址:
lpp.zer2.com
lpp.ackng.com