“永恒之蓝”下载器木马“内测中”，意图弃旧方换新药？

2019-03-07 22:24:24
我要分享


微信扫码分享

近期，360安全大脑监测到“永恒之蓝”下载器木马的攻击者正在调整攻击策略，意图替换由“驱动人生”更新通道下发的木马攻击模块，改由之前植入的PowerShell后门统一管理。老的攻击模块将逐步被弃用，并使用PowerShell进行重写之后以“无文件”形式实施攻击。

2018年12月14日，攻击团伙通过“驱动人生”更新通道下发“永恒之蓝下载器木马”，被下发的木马包含横向传播模块和加载模块（加载挖矿功能）两部分。这些攻击模块都以PE文件的形式存在，带有数字签名“ShenzhenSmartspace Software technology Co.,Limited”，并且都是由“驱动人生”更新通道下发或是其下发木马的衍生物。

图12018年12月14日“驱动人生”更新通道下发的木马

植入计划任务后门

伺机“独立运营”

5天之后，攻击者在更新横向传播模块的同时，还向受害计算机中植入一个计划任务后门。该计划任务通过PowerShell从hxxp://r.minicen.ga/r?p下载恶意代码执行（具体细节请移步http://www.360.cn/n/10528.html）。

虽然当时域名r.minicen.ga并未解析，但这仍然不影响这个计划任务后门在该组织未来攻击中所扮演的重要角色。2019年1月26日，攻击者更改了计划任务后门连接的url为hxxp://v.beahh.com/v，这个url被沿用至今。

之后的种种迹象表明，攻击者在受害者机器上植入后门绝对是有意为之。2019年2月20日，该计划任务后门经过多次测试之后开始稳定地从hxxp://v.beahh.com/v下载恶意载荷执行。而下载的恶意载荷就是攻击者开发的新挖矿模块，该挖矿模块将代替旧的挖矿模块加载器svhhost.exe。不难看出，第一个攻击模块——挖矿模块已经从“驱动人生”更新通道下发的木马框架中脱离。

图22019年2月20日挖矿模块从原有框架脱离

着手测试僵尸机

意图“借壳上市”

2019年3月5日，360安全大脑监测发现，该攻击事件的幕后控制者在进行小范围的测试，测试中的僵尸机不超过100台。这些机器将通过计划任务后门从hxxp://v.beahh.com/eb下载横向传播模块。该横向传播模块由PowerShell编写，且代码经过大量混淆。虽然当时该模块依然未编写完成，但攻击者的测试一直在持续中。