高危预警:​永恒之蓝下载器木马再升级,集成BlueKeep漏洞攻击能力

作者:深圳市网安计算机安全检测技术有限公司 | 国际 2019/10/16 16:31:40 135
文章来源:https://mp.weixin.qq.com/s/_teIut43g6In9YZ7VQ2f7w

一、概述
腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年10月09日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。CVE-2019-0708为RDP远程代码执行漏洞,该漏洞无需身份认证和用户交互,只要存在漏洞的电脑联网,就有可能被黑客完全控制。利用该漏洞可能形成类似WannaCry的蠕虫式传播,腾讯安全建议企业用户及时安装相关补丁并启用安全软件防御攻击。
值得注意的是,此次更新增加了Bluekeep漏洞的检测功能,检测到后只是上报漏洞信息并没有进一步的攻击动作,但永恒之蓝木马下载器自2018年底出现以来,已频繁更新了近20个版本,不排除该病毒的控制者随时启动Bluekeep漏洞进行攻击传播的可能性。

另据腾讯安全御见威胁情报中心的监测数据,截止目前,永恒之蓝相关漏洞未修复的比例接近30%,而BlueKeep漏洞未修复的比例接近20%。BlueKeep漏洞影响Windows 7、xp、Windows Server 2003、2008等多个操作系统版本。

更新后“永恒之蓝下载器”木马主要特点:
1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击,sql爆破攻击等功能,并在攻击成功的目标机器上植入旧的攻击模块ipc.jsp。
2、新增了BlueKeep漏洞检测代码,目前检测到漏洞后只上报信息没有进一步的攻击动作。
3、在攻击成功后的机器上安装计划任务执行多个Powershell后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp,下载执行新的攻击模块if.bin。
变种木马攻击流程图如下,其中橙色为新增攻击。


二、详细分析
攻击模块if.bin经过多次混淆加密,去混淆解密后分析,其主要功能是进行SMB、Mssql爆破攻击,利用永恒之蓝漏洞进行入侵攻击,入侵成功后安装旧版本的ipc.jsp,及多个新版本的后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp/ms.jsp。

解混淆后的jsp下载地址经过了base64加密,解码后下载地址如下:



这些攻击后门功能基本一致, 以rdp.jsp为例进行分析,解密解混淆后的rdp.jsp代码如下,其主要功能是通过多层下载得到攻击模块if.bin及挖矿模块,攻击模块if.bin为Powershell脚本,会被安装为计划任务持久化下载执行。



本次更新主要变化
本次更新主要变化包括: 下载执行新版本的jsp文件, 下载地址:
http[:]//t.zer2.com/rdp.jsp
http[:]//t.zer2.com/rdpo.jsp
http[:]//t.zer2.com/ms.jsp
http[:]//t.zer2.com/v.jsp
http[:]//t.zer2.com/mso.jsp

新增Bluekeep漏洞CVE-2019-0708的检测及上报功能,目前检测到后会上报漏洞信息,没有进一步的攻击动作。



Bluekeep漏洞CVE-2019-0708检测函数,和网上公开的Bluekeep漏洞检测代码逻辑基本一致。


“永恒之蓝下载器”木马历史变种版本回顾


三、安全建议
1.尽快修复CVE-2019-0708 RDP服务远程代码执行漏洞
参考微软官方公告安装补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
2、针对MS010-17 “永恒之蓝”漏洞的防御:
服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞:
XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、WindowsServer 2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
4、企业用户可以使用腾讯御点终端安全管理系统拦截病毒攻击;


5、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。

                      
IOCs
Md5:
e7633ed33e30f6b0cea833244138dd77
415aae4f26158a16f2d6a5896b36e2a8
eab61163cd93ba0cbbd38d06e199f1ab
c72dd126281aba416b666de46337c1d7
​​​​​​​
URL:
http[:]//down.ackng.com/if.bin
http[:]//down.ackng.com/m6.bin
http[:]//down.ackng.com/m3.bin
http[:]//t.zer2.com/rdp.jsp
http[:]//t.zer2.com/rdpo.jsp
http[:]//t.zer2.com/ipc.jsp
http[:]//t.zer2.com/ms.jsp
http[:]//t.zer2.com/v.jsp
http[:]//t.zer2.com/mso.jsp

推荐关注

指导单位
广东省公安厅网络警察总队 广东省信息安全等级保护协调小组办公室