SMB漏洞引发的“血案”,远不止WannaCry

2017-05-23 445551人围观 ,发现 4 个不明物体 特别企划资讯

QQ截图20170522131609.png

前言

自从Shadow Brokers公布了NSA精英黑客团队Equation Group 所使用的0-day漏洞和黑客工具后,黑客团体和独立黑客就开始利用这些漏洞和工具发起各种攻击。而业内人士认为,4月份Shadow Brokers公布的包括高危Windows SMB漏洞在内的一系列Windows黑客工具数据,是迄今为止最具破坏性的数据。

WannaCry爆发之后,安全研究人员发现有很多黑客利用Windows SMB漏洞(CVE-2017-0143)(即Enternal Blue)进行多种黑客活动,此外,Eternalblue SMB漏洞(MS17-010)已经转移到Metasploit渗透测试框架中,这使得研究人员和黑客更能轻松地利用这一漏洞展开不同行动。

因此,除了WannaCry这种大规模全球攻击之外,大量黑客团体、国家赞助的黑客、以挣钱为目的网络犯罪团伙和灰帽子黑客利用Eternalblue发起各种或大或小的攻击,其实不足为奇。

以下是安全研究人员近期发现的利用SMB漏洞发起的攻击,有些发生在WannaCry之前,有些发生在WannaCry之后。

一、EternalRocks蠕虫

5月17日,研究人员发现一款名为EternalRocks的新型利用SMB漏洞的蠕虫。与利用了两款NSA漏洞和工具的WannaCry相比,EternalRocks蠕虫可谓有过之而不及。该蠕虫共利用了四款SMB漏洞和三款NSA黑客工具,列举如下:

EternalBlue — SMBv1 漏洞

EternalRomance — SMBv1 漏洞

EternalChampion — SMBv2 漏洞

EternalSynergy — SMBv3 漏洞

SMBTouch — SMB 侦查工具

ArchTouch — SMB 侦察工具

DoublePulsar — 后门木马

其中,SMBTouch和ArchTouch 这两款侦察工具会在公共网络上扫描、侦查可利用的SMB端口。

EnternalRocks.png

感染计算机之后,EternalRocks的安装分为两个阶段,第一个阶段先在受感染的主机上找到立足点,下载Tor客户端并追踪其位于暗网上的C&C服务器。C&C服务器会在24小时之后才给出响应,开始第二个阶段的安装,这样可以绕过沙箱安全测试和安全人员的研究。

具体流程如下:

第一阶段:恶意软件UpdateInstaller.exe(与第二阶段恶意软件配合进行远程利用)首先下载必要的.NET组件(TaskScheduler 和SharpZLib ),为下一阶段做准备。同时会投放svchost.exe和taskhost.exe。svchost.exe组件用于从archive.torproject.org上下载、解包并运行Tor,同时也会与C&C(ubgdgno5eswkhmpy.onion)通信,请求更多指令

第二阶段:24小时之后,payload才会下载并以taskhost.exe的形式隐藏,投放shadowbrokers.zip 工具包,解包内含目录 payloads/, configs/ and bins/,随后开始随机扫描网络中开放的SMB(445)端口,自行传播,感染其他的漏洞系统。

EnternalRocks还使用了与 WannaCry 相同的文件名以迷惑研究人员,但它并不像 WannaCry 那样有可作为关闭开关的硬编码域名。安装结束后,它会扫描IP地址并试图连接到任意IP地址。

ER 2.png

EnternalRocks名字起源

EternalRocks目前并未传播恶意内容,看起来像是一个测试。但是,攻击者可以通过C&C服务器命令控制受感染的计算机,将新的恶意软件发送到受感染的计算机中。此外,由于利用了NSA带有后门特征的DOUBLEPULSAR工具,其他攻击者也可以劫持这个僵尸网络传递恶意程序。因此,对此也不可掉以轻心。

二、UIWIX勒索软件

最近发现的通过EternalBlue漏洞传播的UIWIX 勒索软件也只在内存中运行,不会向硬盘中写入任何文件或内容,因此很难被追踪。UIWIX也会加密被感染主机中的文件,阻止用户访问。此外,UIWIX还包含用于窃取登录凭证的代码,可能也会通过被入侵的远程桌面连接进行攻击,一些专家认为它也可能会采用邮件附件的方式进行传播感染。

与WannaCryy一样,UIWIX也会向受害者勒索比特币赎金。

UIWIX.png

关于UIWIX的更多信息,可以参考FreeBuf之前发布的针对UIWIX的分析与对策:

《比WannaCry还要可怕的勒索病毒UIWIX?应对措施看这里》 

三、远程访问木马

某蜜罐服务器也有证据表明,5月初,利用SMB漏洞的攻击很多。其中有一波攻击是远程访问木马(RAT)攻击,不过该木马不带有蠕虫特性,也没有像WannaCry那样大范围传播。

该木马的初始传播IP(182.18.23.38)疑似来自中国。在成功利用SMB漏洞后,加密的payload以shellcode的形式发送。安全研究人员在shellcode中发现了一个嵌入的DLL,因此他们认为“这是一款可以下载其他恶意软件的木马,可以从控制器接收并执行命令。

该木马下载的文件之一可用于关闭445端口,从而防止其他恶意软件利用同样的漏洞。另一个文件可以说是第二阶段的payload。研究人员认为,该木马设置了一系列注册表运行条目用于下载并执行其他恶意软件。

这款远程访问木马会试图删除多个用户信息,并终止和/或删除各种进程、文件。内存转储信息显示它可以连接到中文网站ForShare 8.28上托管的远程访问工具。此外,它可以从服务器接收并执行命令、监视屏幕、捕获音频和视频、监控键盘、传输数据、删除文件、终止进程、执行文件,枚举文件和进程、下载文件并控制机器。

由于该木马关闭了445端口,因此研究人员认为背后的攻击者知道EternalBlue漏洞,并试图将其他恶意软件从受攻击的主机中清除。

“我们认为,该攻击背后的团体就是利用二月份发现的Windows Kaspersky漏洞传播恶意软件Mirai的黑客团体,因为二者的IOC有许多相似之处。”

四、安装Rootkit和 DDoS 的恶意软件

这个攻击也是在4月下旬出现的。

攻击利用Eternalblue漏洞,在lsass.exe进程内部产生了一个恶意的线程,这和上文来自俄罗斯的凭证窃取攻击有相似之处。

4.png

但是,这个线程并不仅仅是植入到lsass.exe进程中。植入之后,其初始payload会连接到998端口(117.21.191.69)上的中文命令和控制服务器,并下载一个基于“Agony rootkit”的已知rootkit后门程序,以保持持久化攻击。

Rootkit后门程序安装之后,payload会在被攻击的主机上安装带有DDoS攻击功能的中文僵尸网络恶意软件。

最近发现的Adylkuzz恶意软件就是例子。

Adylkuzz 恶意软件

WannaCry爆发两周前,即4月24日左右,出现了一款隐藏式加密挖矿软件“Adylkuzz”,主要是利用EnternalBlue和DoublePulsar漏洞安装并传播。

与WannaCry不同,这个恶意软件不会安装勒索软件或也不会向受害者发布任何攻击信息,只会悄然感染未打补丁的计算机,安装可以挖矿的恶意软件,获取与比特币类似的“Monero”加密货币。

研究人员发现,Adylkuzz感染未打补丁的计算机后,会关闭SMB端口,以防止该计算机被其他恶意程序感染。这可能间接地保护了数十万台计算机,抵御了WannaCry的入侵。从这一点来说,Adylkuzz反而做了件“好事”。

成功入侵之后,Adylkuzz会确定受害者的公共IP地址,然后下载采矿指令、修复工具和清理工具。研究表明,其挖矿的二进制文件和挖掘指令同时托管在多个命令和控制(C&C)服务器上。

加密货币挖矿需要的投入很大,因为挖矿需要计算机具有较强的计算能力,而Adylkuzz可以让网络犯罪分子轻松利用被攻击计算机的计算资源。研究人员表示,一个Monero目前价值约26.77美元,虽然价值不如比特币高,但其对计算能力的要求也更低,因此可以更轻易地分布在僵尸网络中。虽然感染了Adylkuzz的个人笔记本电脑每周只会产生几美元的收益,但由于全球有上万台计算机受感染,因此Adylkuzz背后的黑客每周可以获得上万美元的高额收入。目前已经监测到的三个Monero收款地址共收到了约43,000美元。

研究人员目前已经确定了20多台用于扫描和攻击的主机,并且检测到十几个活跃的Adylkuzz C&C服务器,但这并不是全部。

GuardiCore的研究人员还发现了一种名为BondNet新型恶意软件。该软件2016年12月其就已经十分活跃,但近期受到了更多关注。BondNet综合多种技术感染全球电脑,可以挖取Monero、ByteCoin、RieCoin和ZCash等加密货币。

五、窃取凭证

研究人员表示:“这种新的隐藏式攻击并没有暴露任何痕迹,但是自4月中旬以来一直在使用NSA工具攻击多个组织。 该恶意软件使用了最明显的payload,但事实上,却采用了更为复杂且难以察觉的攻击方式。”

3.png

幕后攻击者使用了基于EternalBlue的蠕虫去感染受攻击的网络中的所有主机,并且利用后门或窃取到的登录凭证实现持久化攻击。

具体攻击流程是:使用Eternalblue将恶意线程注入’lsass.exe’进程。一旦成功感染主机,该线程就会下载多个恶意模块(包括来自SourceForge的SQLite DLL),然后访问SQLite DLL,从Mozilla FireFox浏览器检索用户保存的登录凭证。然后,被盗的凭证通过加密的Tor网络发送给攻击者的命令和控制服务器,以隐藏攻击者服务器的真实位置。凭证一旦发送,被盗数据会通过TOR网络渗透,Crypton 勒索软件系列成员CRY128勒索软件的变种就开始在内存中运行并将遭受攻击的系统上的所有文档加密。

Secdo上有人表示:“被感染的终端上至少有5个人们所熟悉的Next Gen AV软件和反恶意软件正在运行,但是这些软件却无法检测并阻止这种恶意攻击。原因很可能是该攻击具有单线程攻击特性。

 “产生攻击的IP地址之一(77.72.84.11)来自俄罗斯,但这并不意味着幕后黑客就在俄罗斯。”

第四和第五种攻击的流程相似,黑客利用EnternalBlue,插入后门、安装恶意僵尸软件并暗中窃取用户凭证等, 虽然攻击规模没有WannaCry蠕虫攻击的规模大,但手段更高级。

THN 2.png

来自网络安全应急响应平台Secdo的观点认为,这些攻击可能会造成比WannaCry更大的风险,因为即使公司安装了最新的安全补丁,阻止WannaCry传播并修复SMB Windows漏洞,但“后门可能会持续存在,并且可能会使用受损的凭据重新获得受攻击的系统的访问权限。”

业内人士强烈建议用户使用“能够记录线程级别事件的解决方案,以尽快寻找、评估并减轻潜在的损害。”

总结

综上所述,SMB漏洞带来的攻击远不止一个WannaCry那么简单,其影响范围也比想象的要大得多。更可怕的是,这些攻击可能只是大规模网络攻击的开始。不久之前,Shadow Brokers表示会售卖来自NSA的更多0-day漏洞,黑客和网络攻击者都在翘首以盼。WannaCry攻击一波未平,下一波攻击也许马上到来。用户能做的应对措施并不太多,唯有提高信息安全意识,及时更新、修复系统和软件,同时多看科普和防范文章。

想了解更多关于WannaCry及类似攻击的分析及应对措施,可查看FreeBuffy往期发布的文章与专题:

《专题报道:WannaCry勒索病毒席卷全球》

*参考来源:THNsecurityweek, the register, AngelaY编译,转载请注明FreeBuf.com

相关推荐

这些评论亮了

发表评论

已有 4 条评论

取消
Loading...

特别推荐

推荐关注

活动预告

填写个人信息

姓名
电话
邮箱
公司
行业
职位
css.php