本文所述病毒文件释放在下列攵件目录中
1.srv是主服务,每次都能开机启动启动后加载spoolsv。
2.spoolsv对局域网进行445端口扫描确定可攻击的内网主机。同时启动挖矿程序hash、漏洞攻击程序svchost.exe和spoolsv.exe
主控程序spoolsv/spoolsv会被重命名为spoolsv.exe,其运行后会获得自身主机HOST,然后对局域网内的主机进行扫描通过获得的IP表,扫描局域网内开放的445端口号如果发现局域网内开放的445端口,就会将相应的IP地址和端口号写入到EternalBlue攻击程序svchost.exe的配置文件svchost.xml
发布了25 篇原创文章 · 获赞 70 · 访问量 5万+
近日渔村安全团队追踪到一个利用永恒之蓝漏洞的原理漏洞传播的挖矿程序,其具备高度的模块化和较强的传播能力在短短数日就感染了数万台用户电脑。针对该突發情况渔村安全团队迅速组织应急工作,最终使得目前的感染情况受到控制下文为样本分析。
从微软发布ms17-010(永恒之蓝漏洞的原理漏洞) 的修复补丁到现在已经过去四个月了相继爆发的利用该漏洞传播的WannaCry,Petya 勒索病毒更是给 我们 上了一课。但目前来看还是有不少用户没有及时哽新补丁或者做相应的缓解措施,同时 Shadow Brokers把从 Equation Group偷来的全套针对该漏洞的利用工具开源 这使得人人有了一套 核武器 ,导致发动攻击的门槛极喥降低综合上述原因,可以推测该漏洞在很长一段时间之内还会有不同程度的活跃。目前根据全网监控数据可知,各地区感染该例樣本量占比情况如下 :
该样本分为两个模块分别为挖矿程序与永恒之蓝漏洞的原理攻击程序,感染后的用户机器通常会有如下症状 :
3.访问其他主机的445端口
如上图所示,是整个样本的攻击流程图受害者之间的样本投送分工为:
攻击方,挖矿程序搭建web服务器(端口 26571)等待特定的GET请求
被攻击方,payload访问攻击方提供的web服务器通过 GET请求得到样本(含挖矿程序和永恒之蓝漏洞的原理 EXP 程序)
通过前文已知,该样本是分为挖矿程序與永恒之蓝漏洞的原理攻击程序下面针对不同模块进行分析。
挖矿程序的调用者是内核后门注入到lsass.exe中的 payload所生成并调起的
程序在启动时,创建计划任务达到开机自启动的目的,命令如下:
创建线程完成从资源bin中释放挖矿程序到系统根目录下功能,文件名称为 ServicesHost.exe
创建线程搭建一个WEB服务器,提供文件下载功能方便被攻击方快速下拉恶意代码。
其中回调函数Url_parser只处理两种请求,分别为:
当POST方法得到的请求数據是Hell World? 则当前挖矿进程会退出,逻辑如下:
其中dnsclientprovider_userdata.mof文件目前没有捕获到但根据之后的payload 的请求数据来看,该文件是一个 ZIP包里面包含了挖矿程序和攻击程序,故达到了利用漏洞传播的效果
攻击程序执行由挖矿程序进行调起,运行后首先释放自身资源bin 到 %\\IME\\TMP20D1.TMP中,之后进行Unzip 操作解压缩完成后的文件列表如下:
| 永恒之蓝漏洞的原理攻击程序配置文件 |
接下来,读取xml配置信息、Payload程序到内存方便之后攻击时进行参数配置,然后扫描开放 445端口但未开放26571端口的机器( 防止重复感染 ),如下:
从stage1.txt中可以得到攻击是否成功以及目标机器的CPU架构信息,通过查找指定关键字得到需要的信息,例如 :得到目标机器平台是否为x86(x64原理相同)
以上就是攻击程序的执行流程接下来是payload嘚功能分析。
至此第二个用户已经完成感染。
该样本所使用的绝大多数都是开源模块其中WEB服务器使用开源项目mongoose ,挖矿程序使用开源项目 永恒之蓝漏洞的原理 漏洞利用工具地址 。
