freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

高危预警:永恒之蓝下载器木马再更新,集成BlueKeep漏洞攻击能力
  • 关注
    高危预警:永恒之蓝下载器木马再更新,集成BlueKeep漏洞攻击能力
    2019-10-16 17:24:25
    所属地 广东省

    一、概述

    腾讯安全御见威胁情报中心检测到“永恒之蓝下载器”木马于2019年10月09日再次更新,本次更新新增了Bluekeep漏洞(CVE-2019-0708)检测利用。CVE-2019-0708为RDP远程代码执行漏洞,该漏洞危害影响极大,只要联网,存在漏洞的系统就可能被黑客完全控制。并有可能形成类似wannacry蠕虫式病毒的攻击传播,腾讯安全建议企业用户及时安装相关补丁并启用安全软件防御攻击。 

    值得注意的是,此次更新增加了Bluekeep漏洞的检测功能,检测到后只是上报漏洞信息并没有进一步的攻击动作,但永恒之蓝木马下载器自2018年底出现以来,已频繁更新了近20个版本,不排除该病毒的控制者随时启动Bluekeep漏洞进行攻击的可能。 

    另据腾讯安全御见威胁情报中心的监测数据,截止目前,永恒之蓝相关漏洞未修复的比例接近30%,而BlueKeep漏洞未修复的比例接近20%。Bluekeep漏洞影响Windows 7、xp、Server 2003、2008等多个操作系统版本。 

    更新后“永恒之蓝下载器”木马主要特点:

    1、保留了MS17-010永恒之蓝漏洞攻击、SMB爆破攻击,sql爆破攻击等功能,并在攻击成功的目标机器上植入旧的攻击模块ipc.jsp。 

    2、新增了BlueKeep漏洞检测代码,目前检测到漏洞后只上报信息没有进一步的攻击动作。 

    3、在攻击成功后的机器上安装计划任务执行多个Powershell后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp,下载执行新的攻击模块if.bin。 

    变种木马攻击流程图如下,其中橙色为新增攻击。

    1.png

     

    二、详细分析

    攻击模块if.bin经过多次混淆加密, 去混淆解密后分析,其主要功能是进行SMB,Mssql爆破攻击,利用永恒之蓝漏洞进行入侵攻击,入侵成功后安装旧版本的ipc.jsp,及多个新版本的后门rdp.jsp/rdpo.jsp/v.jsp/mso.jsp/ms.jsp。 

    解混淆后的jsp下载地址经过了base64加密,解码后下载地址如下:

    2.png

     

    3.png

     

    这些攻击后门功能基本一致, 以rdp.jsp为例进行分析,解密解混淆后的rdp.jsp代码如下,其主要功能是通过多层下载得到攻击模块if.bin及挖矿模块,攻击模块if.bin为Powershell脚本,会被安装为计划任务持久化下载执行。

    4.png

     

    本次更新主要变化

    本次更新主要变化包括: 下载执行新版本的jsp文件, 下载地址:

    http[:]//t.zer2.com/rdp.jsp

    http[:]//t.zer2.com/rdpo.jsp

    http[:]//t.zer2.com/ms.jsp

    http[:]//t.zer2.com/v.jsp

    http[:]//t.zer2.com/mso.jsp

     

    新增了Bluekeep漏洞CVE-2019-0708的检测及上报功能,目前检测到后会上报漏洞信息,

    没有进一步的攻击动作。

    5.png


    Bluekeep漏洞CVE-2019-0708检测函数,和网上公开的Bluekeep漏洞检测代码逻辑基本一致。

    6.png

     

    “永恒之蓝下载器”木马历史变种版本回顾

    7.png

     

    三、安全建议

    1.CVE-2019-0708 RDP服务远程代码执行漏洞

    参考微软官方公告安装补丁:https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708

    2、MS010-17 “永恒之蓝”漏洞

    服务器暂时关闭不必要的端口(如135、139、445),方法可参考:https://guanjia.qq.com/web_clinic/s8/585.html

    下载并更新Windows系统补丁,及时修复永恒之蓝系列漏洞

    XP、WindowsServer2003、win8等系统访问:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598

    Win7、win8.1、WindowsServer2008、Windows 10,WindowsServer2016等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx

    3、服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

    4、企业用户可使用腾讯御点终端安全管理系统拦截病毒攻击;

    8.png


    5、推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。

    9.png

                  

    IOCs

    MD5

    e7633ed33e30f6b0cea833244138dd77

    415aae4f26158a16f2d6a5896b36e2a8

    eab61163cd93ba0cbbd38d06e199f1ab

    c72dd126281aba416b666de46337c1d7

     

    URL:

    http[:]//down.ackng.com/if.bin

    http[:]//down.ackng.com/m6.bin

    http[:]//down.ackng.com/m3.bin

    http[:]//t.zer2.com/rdp.jsp

    http[:]//t.zer2.com/rdpo.jsp

    http[:]//t.zer2.com/ipc.jsp

    http[:]//t.zer2.com/ms.jsp

    http[:]//t.zer2.com/v.jsp

    http[:]//t.zer2.com/mso.jsp

    # 腾讯安全 # 永恒之蓝下载器 # CVE-2019-0708 # Bluekeep漏洞
    本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
    被以下专辑收录,发现更多精彩内容
    + 收入我的专辑
    + 加入我的收藏
    相关推荐
    • 0 文章数
    • 0 关注者