永恒之蓝仍在作祟，PowerShell成为帮凶

背景：

近日，腾讯反病毒实验截获到使用PowerShell脚本编写利用永恒之蓝漏洞攻击的样本，样本以钓鱼邮件的方式将恶意word文档文件发送到目标人邮箱，样本一但运行，便会下载解密出PowerShell脚本运行，获取系统信息并上传到指定FTP服务器，并以永恒之蓝漏洞继续扫描攻击。

永恒之蓝漏洞从曝光至今已经过去了几个月，虽然微软早已发布了相关补丁，但黑客却并没有放弃此漏洞的利用，相反，程序由此前编写二进制程序（PE文件）变为可直接拿来使用的PowerShell脚本形式（脚本文件），使永恒之蓝漏洞利用门槛降低，导致大批量黑客开始使用PowerShell永恒之蓝漏洞代码进行传播木马病毒。

黑客作恶流程图：

样本分析：

根据截获的信息，已有受害人的邮箱收到钓鱼邮件，邮件中谎称附件为寄送快递包裹的详单。

附件word文档名为：Quittung_*_05_09_2017.doc（注：Quittung为德语“收据”的意思），打开文档后显示一张虚假提示信息的图片，图片及邮件中所用语言为德语，而根据反病毒实验室威胁情报收集系统信息显示，多个样本来源均来自瑞士，邮件的收件人与发件人邮箱地址均为瑞士，而瑞士官方语言有多种，其中一种即为德语，因此推测黑客应该是以瑞士为主要攻击目标。

如果受害人没有禁用Office宏代码功能，打开word文档后便会运行恶意的宏代码：

这段宏代码已经被混淆加密，经过解密后可以看到宏代码主要为下载功能，尝试从5个网址下载恶意文件sxc.exe。将样本上传到habo.qq.com上可以直观看到样本的具体行为。

下载回来的sxc.exe为压缩包，包内为JS脚本，此脚本为防止杀毒引擎查杀，使用JS混淆器混淆加密过。

脚本经过解密后，在代码中可以看到4个洋葱地址，但目前4个地址无法访问。

脚本中有4段使用Base64编码的数据，通过Base64解码后可得到4个不同的文件，分别名为cert、ps、psf、pseb。这4个文件分别对应着不同的功能：

脚本代码主要功能为以下几步：

第一步：结束浏览器进程

结束掉IE、FireFox、chrome浏览器进程。

第二步：为IE添加安全证书

脚本首先在系统%TEMP%目录下释放后缀为.ps1的文件，名字为8位随机字符，此文件实际为上面的ps文件。随后调用PowerShell脚本运行此脚本，此脚本是在用户电脑上添加安全证书信息，目的是为防止用户访问https时弹出安全提示。

检测当前计算机是否联网，联网则获取到本地外网IP地址。

然后设置注册表，禁用掉浏览器代理自动检测设置（WPAD），并设置自动配置脚本地址为指定的URL，URL为：

https://洋葱地址.link/8位随机字符.js?ip=本机IP

第三步：为Firefox添加安全证书

搜索PC上是否有安全Firefox浏览器。

检测到安装了Firefox则启动psf脚本，为Firefox添加安全证书。

第四步：运行pseb攻击模块

Pseb是主要核心攻击模块，使用永恒之蓝漏洞发起攻击，它的主要攻击代码在几个月前就已经在github上公开，但目前还在持续被使用。

Pseb脚本中，攻击者添加了一些自己需要的功能模块。例如会收集受害者的电脑信息并上传到指定的FTP服务器上，此FTP服务器在攻击当天是可以访问的，可以看到近100个网段被攻陷，并上传了log信息文件，但第二天服务器便被关闭掉了，攻击时间非常短暂，这极有可能是黑客对特定目标发起带有针对性的攻击。

脚本首先获取本机网卡的IP地址网段，如果本地有多块网卡，则会获取到多个网段。

随后会向所有网段的0-255机器上发起永恒之蓝漏洞攻击，如果这些机器上没有安装相关补丁则会被攻陷，脚本会向这些机器上发送shellcode。

这一段shellcode最后会执行PowerShell命令，他的参数是一段Base64编码过的数据。

将这段数据用Base64解码后，可以看到PowerShell的参数是到galeona.com网站上下载一个新的PowerShell脚本。

galeona网站在2017年8月31日就已被其他安全研究机构定义为Locky。

在持续对上面5个恶意下载网址进行跟踪时，发现服务器上还存在其他恶意文件，下载回来分析后确认为敲诈勒索木马，可加密用户所有的PC文件。

安全提醒：

1、查看未知邮件多加小心，邮件附件可用杀毒软件扫描确认是否安全，未知文件可上传到腾讯哈勃分析系统确认是否安全。

2、非必要则关闭Office宏功能，防止宏病毒运行。

3、及时更新微软漏洞补丁，阻止已知漏洞攻击。

4、安装并开启杀毒引擎，防患于未然。

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！