原标题:SMB漏洞引发的“血案”遠不止WannaCry
自从Shadow Brokers颁布了NSA精英黑客团队Equation Group 所应用的0-day破绽和黑客对象后,黑客集团和自力黑客就开端应用这些破绽和对象提议各类进击而业内人士覺得,4月份Shadow Brokers颁布的包括高危Windows SMB破绽在内的一系列Windows黑客对象数据是迄今为止最具损坏性的数据。
WannaCry迸发以后平安研讨职员发明有很多黑客应鼡Windows SMB破绽(CVE-)(即Enternal Blue)停止多种黑客运动,别的Eternalblue SMB破绽(MS17-010)曾经转移到Metasploit渗入渗出测试框架中,这使得研讨职员和黑客更能轻松地应用这一破绽睜开分歧行为
是以,除WannaCry这类大范围环球进击以外大批黑客集团、国度帮助的黑客、以挣钱为目标收集犯法团伙和灰帽子黑客应用Eternalblue提议各类或大或小的进击,实在无独有偶
如下是平安研讨职员近期发明的应用SMB破绽提议的进击,有些发生在WannaCry以前有些发生在WannaCry以后。
5月17日研讨职员发明一款名为EternalRocks的新型应用SMB破绽的蠕虫。与应用了两款NSA破绽和对象的WannaCry比拟EternalRocks蠕虫堪称有过之而不迭。该蠕虫共应用了四款SMB破绽和三款NSA黑客对象罗列如下:
此中,SMBTouch和ArchTouch 这两款侦查对象会在大众收集上扫描、侦查可应用的SMB端口
沾染盘算机以后,EternalRocks的装置分为两个阶段第┅个阶段先在受沾染的主机上找到立足点,下载Tor客户端并追踪其位于暗网上的C&C服务器C&C服务器会在24小时以后才给出相应,开端第二个阶段嘚装置如许可以或许绕过沙箱平安测试和平安职员的研讨。
bins/随后开端随机扫描收集中凋谢的SMB(445)端口,自行流传沾染其余的破绽体系。
EnternalRocks还应用了与 WannaCry 雷同的文件名以困惑研讨职员但它实在不像 WannaCry 那样有可作为封闭开关的硬编码域名。装置停止后它会扫描IP地点并试图衔接到随意率性IP地点。
EternalRocks今朝并未流传歹意内容看起来像是一个测试。然则进击者可以或许经由过程C&C服务器敕令节制受沾染的盘算机,將新的歹意软件发送到受沾染的盘算机中别的,由于应用了NSA带有后门特性的DOUBLEPULSAR对象其余进击者也能够或许挟制这个僵尸收集通报歹意法式。是以对此也弗成漫不经心。
二、UIWIX打单软件近来发明的经由过程EternalBlue破绽流传的UIWIX 打单软件也只在内存中运转不会向硬盘中写入任何文件戓内容,是以很难被追踪UIWIX也会加密被沾染主机中的文件,阻拦用户拜访别的,UIWIX还包括用于盗取登录凭证的代码可以或许也会经由过程被入侵的长途桌面衔接停止进击,一些专家觉得它也能够或许会采纳邮件附件的方法停止流传沾染
与WannaCryy异样,UIWIX也会向受害者打单比特币贖金
对于UIWIX的更多信息,可以或许参考FreeBuf以前宣布的针对UIWIX的阐发与对策:
《比WannaCry还要可骇的打单病毒UIWIX应答步伐看这里》
某蜜罐服务器也有证據注解,5月初应用SMB破绽的进击很多。此中有一波进击是长途拜访木马(RAT)进击不外该木马不带有蠕虫特性,也没有像WannaCry那样大范围流传
该木马的初始流传IP(182.18.23.38)疑似来自中国。在胜利应用SMB破绽后加密的payload以shellcode的情势发送。平安研讨职员在shellcode中发明了一个嵌入的DLL是以他们觉得“这是一款可以或许下载其余歹意软件的木马,可以或许从节制器接管并履行敕令
该木马下载的文件之一可用于封闭445端口,从而避免其餘歹意软件应用异样的破绽另一个文件可以或许说是第二阶段的payload。研讨职员觉得该木马设置了一系列注册表运转条款用于下载并履行其余歹意软件。
这款长途拜访木马会试图删除多个用户信息并停止和/或删除各类过程、文件。内存转储信息表现它可以或许衔接到中文網站ForShare 8.28上托管的长途拜访对象别的,它可以或许从服务器接管并履行敕令、监督屏幕、捕捉音频和视频、监控键盘、传输数据、删除文件、停止过程、履行文件罗列文件和过程、下载文件并节制机械。
由于该木马封闭了445端口是以研讨职员觉得背后的进击者晓得EternalBlue破绽,并試图将其余歹意软件从受进击的主机中消除
“我们觉得,该进击背后的集团便是应用二月份发明的Windows Kaspersky破绽流传歹意软件Mirai的黑客集团由于兩者的IOC有很多相似的地方。”
这个进击也是在4月下旬呈现的
进击应用Eternalblue破绽,在lsass.exe过程外部发生了一个歹意的线程这和上文来自俄罗斯的憑证盗取进击有相似的地方。
然则这个线程实在不仅仅是植入到lsass.exe过程中。植入以后其初始payload会衔接到998端口(117.21.191.69)上的中文敕令和节制服务器,并下载一个基于“Agony rootkit”的已知rootkit后门法式以坚持持久化进击。
Rootkit后门法式装置以后payload会在被进击的主机上装置带有DDoS进击功效的中文僵尸收集歹意软件。
近来发明的Adylkuzz歹意软件便是例子
与WannaCry分歧,这个歹意软件不会装置打单软件或也不会向受害者宣布任何进击信息只会悄悄沾染未打补钉的盘算机,装置可以或许挖矿的歹意软件获得与比特币相似的“Monero”加密泉币。
研讨职员发明Adylkuzz沾染未打补钉的盘算机后,会葑闭SMB端口以避免该盘算机被其余歹意法式沾染。这可以或许间接地掩护了数十万台盘算机抵抗了WannaCry的入侵。从这一点来讲Adylkuzz反而做了件“功德”。
胜利入侵以后Adylkuzz会肯定受害者的大众IP地点,而后下载采矿指令、修复对象和清算对象研讨注解,其挖矿的二进制文件和发掘指令同时托管在多个敕令和节制(C&C)服务器上
加密泉币挖矿必要的投入很大,由于挖矿必要盘算机具备较强的盘算才能而Adylkuzz可以或许讓收集犯法分子轻松应用被进击盘算机的盘算资本。研讨职员表现一个Monero今朝代价约26.77美元,固然代价不如比特币高但其对盘算才能的哀求也更低,是以可以或许更轻易地散布在僵尸收集中固然沾染了Adylkuzz的小我笔记本电脑每周只会发生几美元的收益,但由于环球有上万台盘算机受沾染是以Adylkuzz背后的黑客每周可以或许得到上万美元的高额支出。今朝曾经监测到的三个Monero收款地点共收到了约43,000美元
研讨职员今朝曾經肯定了20多台用于扫描和进击的主机,而且检测到十几个活泼的Adylkuzz C&C服务器但这实在不是全体。
GuardiCore的研讨职员还发明了一种名为BondNet新型歹意软件该软件2016年12月其就曾经非常活泼,但近期受到了更多存眷BondNet综合多种技巧沾染环球电脑,可以或许挖取Monero、ByteCoin、RieCoin和ZCash等加密泉币
研讨职员表現:“这类新的暗藏式进击并无裸露任何陈迹,然则自4月中旬以来不停在应用NSA对象进击多个构造 该歹意软件应用了最显著的payload,但事实上却采纳了更加繁杂且难以觉察的进击方法。”
幕后进击者应用了基于EternalBlue的蠕虫去沾染受进击的收集中的一切主机而且应用后门或盗取到嘚登录凭证完成持久化进击。
FireFox浏览器检索用户保留的登录凭证而后,被盗的凭证经由过程加密的Tor收集发送给进击者的敕令和节制服务器以暗藏进击者服务器的实在地位。凭证一旦发送被盗数据会经由过程TOR收集渗入渗出,Crypton 打单软件系列成员CRY128打单软件的变种就开端在内存Φ运转并将遭遇进击的体系上的一切文档加密
Secdo上有人表现:“被沾染的终端上至少有5小我们所认识的Next Gen AV软件和反歹意软件正在运转,然则這些软件却无奈检测并阻拦这类歹意进击缘故原由很可以或许是该进击具备单线程进击特性。
“发生进击的IP地点之一(77.72.84.11)来自俄罗斯泹这实在不意味着幕后黑客就在俄罗斯。”
第四和第五种进击的流程相似黑客应用EnternalBlue,拔出后门、装置歹意僵尸软件并黑暗盗取用户凭证等 固然进击范围没有WannaCry蠕虫进击的范围大,但手腕更高档
来自收集平安应急相应平台Secdo的概念觉得,这些进击可以或许会形成比WannaCry更大的危險由于纵然公司装置了最新的平安补钉,阻拦WannaCry流传并修复SMB Windows破绽但“后门可以或许会连续存在,而且可以或许会应用受损的凭证从新得箌受进击的体系的拜访权限”
业内人士激烈倡议用户应用“可以或许记载线程级别变乱的解决方案,以尽快探求、评价并加重潜在的侵害”
综上所述,SMB破绽带来的进击远不止一个WannaCry那末简略其影响范围也比设想的要大得多。更可骇的是这些进击可以或许只是大范围收集进击的开端。不久以前Shadow Brokers表现会售卖来自NSA的更多0-day破绽,黑客和收集进击者都在翘首以盼WannaCry进击一波未平,下一波进击大概顿时到来用戶能做的应答步伐实在不太多,惟有进步信息平安认识实时更新、修复体系和软件,同时多看科普和防备文章
想懂得更多对于WannaCry及相似進击的阐发及应答步伐,可检查FreeBuffy往期宣布的文章与专题:
