首页
社区
课程
招聘
[原创]永恒之蓝仍在作祟,PowerShell成为帮凶
发表于: 2017-9-20 18:46 7809

[原创]永恒之蓝仍在作祟,PowerShell成为帮凶

2017-9-20 18:46
7809

永恒之蓝仍在作祟,PowerShell成为帮凶

背景:

近日,腾讯反病毒实验截获到使用PowerShell脚本编写利用永恒之蓝漏洞攻击的样本,样本以钓鱼邮件的方式将恶意word文档文件发送到目标人邮箱,样本一但运行,便会下载解密出PowerShell脚本运行,获取系统信息并上传到指定FTP服务器,并以永恒之蓝漏洞继续扫描攻击。

永恒之蓝漏洞从曝光至今已经过去了几个月,虽然微软早已发布了相关补丁,但黑客却并没有放弃此漏洞的利用,相反,程序由此前编写二进制程序(PE文件)变为可直接拿来使用的PowerShell脚本形式(脚本文件),使永恒之蓝漏洞利用门槛降低,导致大批量黑客开始使用PowerShell永恒之蓝漏洞代码进行传播木马病毒。

黑客作恶流程图:

 


样本分析:

根据截获的信息,已有受害人的邮箱收到钓鱼邮件,邮件中谎称附件为寄送快递包裹的详单。


附件word文档名为:Quittung_*_05_09_2017.doc(注:Quittung为德语“收据”的意思),打开文档后显示一张虚假提示信息的图片,图片及邮件中所用语言为德语,而根据反病毒实验室威胁情报收集系统信息显示,多个样本来源均来自瑞士,邮件的收件人与发件人邮箱地址均为瑞士,而瑞士官方语言有多种,其中一种即为德语,因此推测黑客应该是以瑞士为主要攻击目标。


如果受害人没有禁用Office宏代码功能,打开word文档后便会运行恶意的宏代码:


这段宏代码已经被混淆加密,经过解密后可以看到宏代码主要为下载功能,尝试从5个网址下载恶意文件sxc.exe。将样本上传到habo.qq.com上可以直观看到样本的具体行为。


下载回来的sxc.exe为压缩包,包内为JS脚本,此脚本为防止杀毒引擎查杀,使用JS混淆器混淆加密过。


脚本经过解密后,在代码中可以看到4个洋葱地址,但目前4个地址无法访问。


脚本中有4段使用Base64编码的数据,通过Base64解码后可得到4个不同的文件,分别名为certpspsfpseb。这4个文件分别对应着不同的功能:

文件名

文件功能

Cert

访问网站需要的安全证书信息

Ps

模拟用户点击,为IE导入安全证书

Psf

Firefox导入安全证书

Pseb

主要攻击模块

使用永恒之蓝漏洞进行攻击

 

脚本代码主要功能为以下几步:

第一步:结束浏览器进程

结束掉IEFireFoxchrome浏览器进程。


第二步:为IE添加安全证书

脚本首先在系统%TEMP%目录下释放后缀为.ps1的文件,名字为8位随机字符,此文件实际为上面的ps文件。随后调用PowerShell脚本运行此脚本,此脚本是在用户电脑上添加安全证书信息,目的是为防止用户访问https时弹出安全提示。


检测当前计算机是否联网,联网则获取到本地外网IP地址。


然后设置注册表,禁用掉浏览器代理自动检测设置(WPAD),并设置自动配置脚本地址为指定的URLURL为:

https://洋葱地址.link/8位随机字符.js?ip=本机IP


第三步:为Firefox添加安全证书

搜索PC上是否有安全Firefox浏览器。


检测到安装了Firefox则启动psf脚本,为Firefox添加安全证书。


第四步:运行pseb攻击模块

Pseb是主要核心攻击模块,使用永恒之蓝漏洞发起攻击,它的主要攻击代码在几个月前就已经在github上公开,但目前还在持续被使用。


Pseb脚本中,攻击者添加了一些自己需要的功能模块。例如会收集受害者的电脑信息并上传到指定的FTP服务器上,此FTP服务器在攻击当天是可以访问的,可以看到近100个网段被攻陷,并上传了log信息文件,但第二天服务器便被关闭掉了,攻击时间非常短暂,这极有可能是黑客对特定目标发起带有针对性的攻击。


脚本首先获取本机网卡的IP地址网段,如果本地有多块网卡,则会获取到多个网段。


随后会向所有网段的0-255机器上发起永恒之蓝漏洞攻击,如果这些机器上没有安装相关补丁则会被攻陷,脚本会向这些机器上发送shellcode


这一段shellcode最后会执行PowerShell命令,他的参数是一段Base64编码过的数据。


将这段数据用Base64解码后,可以看到PowerShell的参数是到galeona.com网站上下载一个新的PowerShell脚本。


galeona网站在2017831日就已被其他安全研究机构定义为Locky


在持续对上面5个恶意下载网址进行跟踪时,发现服务器上还存在其他恶意文件,下载回来分析后确认为敲诈勒索木马,可加密用户所有的PC文件。

安全提醒:

1、查看未知邮件多加小心,邮件附件可用杀毒软件扫描确认是否安全,未知文件可上传到腾讯哈勃分析系统确认是否安全。

2、非必要则关闭Office宏功能,防止宏病毒运行。

3、及时更新微软漏洞补丁,阻止已知漏洞攻击。

4、安装并开启杀毒引擎,防患于未然。

 




[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 0
支持
分享
最新回复 (5)
雪    币: 2058
活跃值: (1661)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享,辛苦了
2017-9-20 20:04
0
雪    币: 274
活跃值: (87)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
mark
2017-9-20 20:05
0
雪    币: 7048
活跃值: (3527)
能力值: ( LV12,RANK:340 )
在线值:
发帖
回帖
粉丝
4
包含这个恶意doc的邮件我也收到过。
2017-9-20 22:45
0
雪    币: 495
活跃值: (147)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
5
样本呢
2019-6-18 10:59
0
雪    币: 1725
活跃值: (27)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
mark
2019-6-18 17:58
0
游客
登录 | 注册 方可回帖
返回
//