永恒蓝下载木马升级更新无穷无尽 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

永恒蓝下载木马升级更新无穷无尽

申博_安全防护 申博 277次浏览 已收录 0个评论

腾讯平安御见要挟情报中心于2019年3月8日发明曾应用驱动人生公司晋级渠道的永久之蓝下载器木马再次更新。此次更新依然在于进击模块,然则其特性在于,进击模块不再由此前植入的母体PE文件举行开释,而是转为由沾染后机械上装置的Powershell后门举行下载。

经由过程剖析发明,此次新启用的PE进击模块下载地点同时还卖力Powshell剧本进击模块的下载,致使已沾染的机械对其他机械提议PE文件进击和“无文件”进击。经由过程对照剖析还发明“永久之蓝”木马下载器黑产团伙运用的Powershell进击代码与腾讯平安御见要挟情报中心2018年9月发明的Mykings僵尸收集变种进击代码有诸多相似之处,因而推想二者具有某种联络。

“永久之蓝”木马下载器黑产团伙时间线:

永恒蓝下载木马升级更新无穷无尽

PE文件进击

该文件经由过程被沾染机械的Powershell后门举行下载,保存为i.exe实行,其功用和此前屡次更新的进击模块C:\Windows\Temp\svchost.exe雷同,该文件一样由Pyinstaller打包天生,集成永久之蓝破绽进击、SMB爆破进击、MsSQL爆破进击,同时运用黑客工具mimiktaz、psexec举行辅佐进击,剖析其代码另发明以下几处转变:

1、对主顺序的Python代码团体经由Base64、bz2算法进紧缩编码,运行时先解码。

永恒蓝下载木马升级更新无穷无尽

2、对用于SMB、MsSQL爆破的弱口令举行更新,新增了13条弱口令:

‘database’,
‘saadmin’,
‘sql2000’,
‘admin123’,
‘[email protected]’,
‘sql123’,
‘sasasa’,
‘adminsa’,
‘sql2010’,
‘sa12345’,
‘sa123456’,
‘saadmin’,
‘sqlpass’

永恒蓝下载木马升级更新无穷无尽

永恒蓝下载木马升级更新无穷无尽

“无文件”进击。

经由过程已沾染机械上的Powershell后门下载以下剧本代码实行:

hxxp://v.beahh.com/ipc?low1,该代码为经由多重殽杂的Powershell剧本,解密后发明,其主要功用为下载另外一剧本hxxp://27.102.107.137/new.dat?pebb并将其装置为计划任务Credentials实行。

永恒蓝下载木马升级更新无穷无尽

· 计划任务名:Credentials

· 启动顺序:powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

· 触发器:在初次实行当天触发后,无限期每隔一小时实行一次。

永恒蓝下载木马升级更新无穷无尽

该计划任务实行的Powershell文件cred.ps1,该文件一样经由多重殽杂,解密后剖析发明其集成了端口扫描、SMB爆破、永久之蓝破绽进击等进击要领,而且进击胜利后会在目的机械上传启动项。

永久之蓝破绽进击。

永恒蓝下载木马升级更新无穷无尽

SMB弱口令爆破。

永恒蓝下载木马升级更新无穷无尽

进击后上文件到传启动目次。

永恒蓝下载木马升级更新无穷无尽

此次更新后,木马脱离了本来的PE文件母体,直接经由过程已沾染机械上装置的后门下载进击模块,而且同时更新PE进击模块和“无文件”情势的进击模块,致使其具有了更大的流传才能。

经由过程对照还发明,该木马运用的“无文件”进击代码与腾讯平安御见要挟情报中心在2018年9月发明的Mykings僵尸收集变种(https://www.freebuf.com/column/183705.html)运用的进击要领有较多相似之处,包孕雷同的进击应用函数名eb7(),eb8(),建立计划任务的启动目次都为%appdata%\Microsoft\,都会在进击胜利后上传文件到菜单启动目次等,因而推想其与Myings僵尸收集幕后团伙有某种联络。

永恒蓝下载木马升级更新无穷无尽

平安发起

1.服务器临时封闭不必要的端口(如135、139、445),要领可参考:https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器运用高强度暗码,切勿运用弱口令,防备黑客暴力破解

3.运用杀毒软件阻拦能够的病毒进击;

4.企业用户可布置腾讯御界高等要挟检测体系防备能够的黑客进击。

永恒蓝下载木马升级更新无穷无尽

5.中毒电脑可参考以下提醒手动清算:

删除文件

· %appdata%\Microsoft\cred.ps1

删除以下计划任务:

· 计划任务名:Credentials

· 启动顺序:powershell -nop -w hidden -ep bypass -f %appdata%\Microsoft\cred.ps1

删除菜单启动目次文件:

· run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt

IOCs

Md5

def0e980d7c2a59b52d0c644a6e40763

23196de0ede25fb9659713fa6799f455

ce924b12ffc55021f5c1bcf308f29704

2fbce2ecf670eb186c6e3e5886056312

IP

27.102.107.137

Domain

info.haqo.ne

info.beahh.com

info.abbny.com

v.beahh.com

弱口令:

“123456”,

“password”,

“PASSWORD”,

“football”,

“welcome”,

“1”,

“12”,

“21”,

“123”,

“321”,

“1234”,

“12345”,

“123123”,

“123321”,

“111111”,

“654321”,

“666666”,

“121212”,

“000000”,

“222222”,

“888888”,

“1111”,

“555555”,

“1234567”,

“12345678”,

“123456789”,

“987654321”,

“admin”,

“abc123”,

“abcd1234”,

“[email protected]”,

“[email protected]”,

“[email protected]”,

“[email protected]”,

“[email protected]”,

“[email protected]”,

“[email protected]”,

“[email protected]”,

“[email protected]$$w0rd”,

“[email protected]$$word”,

“[email protected]$$w0rd”,

“iloveyou”,

“monkey”,

“login”,

————————————-

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

“passw0rd”,

“master”,

“hello”,

“qazwsx”,

“password1”,

“qwerty”,

“baseball”,

“qwertyuiop”,

“superman”,

“1qaz2wsx”,

“fuckyou”,

“123qwe”,

“zxcvbn”,

“pass”,

“aaaaaa”,

“love”,

“administrator”

‘123456’,

‘password’,

‘qwerty’,

‘12345678’,

‘123456789’,

‘123’,

‘1234’,

‘123123’,

‘12345’,

‘12345678’,

‘123123123’,

‘1234567890’,

‘88888888’,

‘111111111’,

‘000000’,

‘111111’,

‘112233’,

‘123321’,

‘654321’,

‘666666’,

‘888888’,

‘a123456’,

‘123456a’,

‘5201314’,

‘1qaz2wsx’,

‘1q2w3e4r’,

‘qwe123’,

‘123qwe’,

‘a123456789’,

‘123456789a’,

‘baseball’,

‘dragon’,

‘football’,

‘iloveyou’,

‘password’,

‘sunshine’,

‘princess’,

‘welcome’,

‘abc123’,

‘monkey’,

‘[email protected]#$%^&*’,

‘charlie’,

‘aa123456’,

‘Aa123456’,

‘admin’,

‘homelesspa’,

‘password1’,

‘1q2w3e4r5t’,

‘qwertyuiop’,

‘1qaz2wsx’,

‘sa’,

‘sasa’,

‘sa123’,

‘sql2005’,

‘1’,

‘[email protected]’,

‘sa2008’,

‘1111’,

‘passw0rd’,

‘abc’,

‘abc123’,

‘abcdefg’,

‘sapassword’,

‘Aa12345678’,

‘ABCabc123’,

‘sqlpassword’,

‘1qaz2wsx’,

‘1qaz!QAZ’,

‘sql2008’,

‘ksa8hd4,[email protected]~#$%^&*()’,

‘4yqbm4,m`[email protected]~#$%^&*(),.; ‘,

‘4yqbm4,m`[email protected]~#$%^&*(),.;’,

‘A123456’,

‘database’,

‘saadmin’,

‘sql2000’,

‘admin123’,

‘[email protected]’,

‘sql123’,

‘sasasa’,

‘adminsa’,

‘sql2010’,

‘sa12345’,

‘sa123456’,

‘saadmin’,

‘sqlpass’


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明永恒蓝下载木马升级更新无穷无尽
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址