永恒之蓝木马下载器开创“无文件挖矿”新模式

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序把安全装进口袋

永恒之蓝木马下载器开创“无文件挖矿”新模式

2019-04-08 11:45:09

所属地广东省

概述

腾讯安全御见威胁情报中心4月3日检测到永恒之蓝下载器木马再次更新，此次更新改变了原有的挖矿木马执行方式，通过在Powershell中嵌入PE文件加载的形式，达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地，直接在Powershell.exe进程中运行，可能造成难以检测和清除。

永恒之蓝木马下载器堪称2018-2019年度病毒劳模，自诞生一来，已逐步形成每周更新的传统。以下是“永恒之蓝”木马下载器黑产团伙活动情况时间线：

2018年12月14日	利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。
2018年12月19日	下载之后的木马新增Powershell后门安装。
2019年1月09日	检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日	木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。
2019年1月25日	木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。
2019年2月10日	将攻击模块打包方式改为Pyinstaller.
2019年2月20日	更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。
2019年2月23日	攻击方法再次更新，新增MsSQL爆破攻击。
2019年2月25日	在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。
2019年3月6日	通过已感染机器后门更新Powershell脚本横向传播模块ipc。
2019年3月8日	通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。
2019年3月14日	通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。
2019年3月28日	更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。
2019年4月3日	开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行