近期,360安全大脑监测到“永恒之蓝”下载器木马的攻击者正在调整攻击策略,意图替换由“驱动人生”更新通道下发的木马攻击模块,改由之前植入的后门统一管理。老的攻击模块将逐步被弃用,并使用进行重写之后以“无文件”形式实施攻击。
2018年12月14日,攻击团伙通过“驱动人生”更新通道下发“永恒之蓝下载器木马”,被下发的木马包含横向传播模块和加载模块(加载挖矿功能)两部分。这些攻击模块都以PE文件的形式存在,带有数字签名“ Co.,”,并且都是由“驱动人生”更新通道下发或是其下发木马的衍生物。
图12018年12月14日“驱动人生”更新通道下发的木马
植入计划任务后门
伺机“独立运营”
5天之后,攻击者在更新横向传播模块的同时,还向受害计算机中植入一个计划任务后门。该计划任务通过从hxxp://r..ga/r?p下载恶意代码执行(具体细节请移步)。
虽然当时域名r..ga并未解析,但这仍然不影响这个计划任务后门在该组织未来攻击中所扮演的重要角色。2019年1月26日,攻击者更改了计划任务后门连接的url为hxxp:///v,这个url被沿用至今。
之后的种种迹象表明,攻击者在受害者机器上植入后门绝对是有意为之。2019年2月20日,该计划任务后门经过多次测试之后开始稳定地从hxxp:///v下载恶意载荷执行。而下载的恶意载荷就是攻击者开发的新挖矿模块,该挖矿模块将代替旧的挖矿模块加载器.exe。不难看出,第一个攻击模块——挖矿模块已经从“驱动人生”更新通道下发的木马框架中脱离。
图22019年2月20日挖矿模块从原有框架脱离
着手测试僵尸机
意图“借壳上市”
2019年3月5日,360安全大脑监测发现,该攻击事件的幕后控制者在进行小范围的测试,测试中的僵尸机不超过100台。这些机器将通过计划任务后门从hxxp:///eb下载横向传播模块。该横向传播模块由编写,且代码经过大量混淆。虽然当时该模块依然未编写完成,但攻击者的测试一直在持续中。
图3 未编写完成的横向传播模块
仅一天之后,我们又发现了一例攻击事件幕后控制者的测试,这次测试范围较前一日的更小。在这次测试中,僵尸机通过计划任务后门从hxxp:///ipc下载横向传播模块到本地址执行。不同于上次测试,这次横向传播模块已经编写完毕。
该横向传播模块包含-WC、-SMBC和eb7三个扫描器,分别通过WMI弱口令爆破、SMB弱口令爆破和“永恒之蓝”漏洞攻击武器攻击其他计算机。
图4 -WC部分代码
图5 -SMBC代码
图6 eb7部分代码
完成横向渗透之后,木马将在启动目录下写入后门文件,后门从hxxp:///ipc下载恶意载荷并执行。值得一提的是,攻击者复用-n项目代码,试图通过反射注入在进程中完成所有工作,以实现“无文件”攻击。
图7 横向传播模块渗透成功后植入的后门
通过分析此次更新不难发现,攻击者试图将所有模块从老的木马中脱离并独立运营,这是一次完美的“借壳上市”。一旦攻击者结束测试并开始大范围实施更新,安全软件将更难查杀有“无文件”攻击模式加持的木马。
图8 下阶段攻击模块可能将完全从老的传播渠道中脱离
由于新的一轮攻击尚处于测试阶段,360安全大脑提醒广大用户做好以下几点防御措施,以应对即将到来的攻击:
1. 及时安装系统和重要软件的安全补丁。
2. 如无使用必要,请关闭135端口和445端口;
3. 使用强度较高的系统登录口令;
4. 检查计划任务中是否有异常任务,检查启动目录下是否有木马文件run.bat、.lnk、.tmp、sign.txt,若有请删除文件。
5. 下载安装360安全卫士并保持开启,防护个人电脑及财产安全。
IOC
hxxp:///eb
hxxp://172.104.177.202/new.dat
hxxp:///ipc
hxxp://27.102.107.137/new.dat
hxxp:///.php
