资讯
主页 > 技术文章 > 正文

永恒之蓝仍在作祟,PowerShell成为帮凶

发表时间:2017-09-21

背景:

近日,腾讯反病毒实验截获到使用PowerShell脚本编写利用永恒之蓝漏洞攻击的样本,样本以钓鱼邮件的方式将恶意word文档文件发送到目标人邮箱,样本一但运行,便会下载解密出PowerShell脚本运行,获取系统信息并上传到指定FTP服务器,并以永恒之蓝漏洞继续扫描攻击。

永恒之蓝漏洞从曝光至今已经过去了几个月,虽然微软早已发布了相关补丁,但黑客却并没有放弃此漏洞的利用,相反,程序由此前编写二进制程序(PE文件)变为可直接拿来使用的PowerShell脚本形式(脚本文件),使永恒之蓝漏洞利用门槛降低,导致大批量黑客开始使用PowerShell永恒之蓝漏洞代码进行传播木马病毒。

黑客作恶流程图:

 

样本分析:

根据截获的信息,已有受害人的邮箱收到钓鱼邮件,邮件中谎称附件为寄送快递包裹的详单。

 

附件word文档名为:Quittung_*_05_09_2017.doc(注:Quittung为德语“收据”的意思),打开文档后显示一张虚假提示信息的图片,图片及邮件中所用语言为德语,而根据反病毒实验室威胁情报收集系统信息显示,多个样本来源均来自瑞士,邮件的收件人与发件人邮箱地址均为瑞士,而瑞士官方语言有多种,其中一种即为德语,因此推测黑客应该是以瑞士为主要攻击目标

 

如果受害人没有禁用Office宏代码功能,打开word文档后便会运行恶意的宏代码:

 

这段宏代码已经被混淆加密,经过解密后可以看到宏代码主要为下载功能,尝试从5个网址下载恶意文件sxc.exe。将样本上传到habo.qq.com上可以直观看到样本的具体行为。

 

下载回来的sxc.exe为压缩包,包内为JS脚本,此脚本为防止杀毒引擎查杀,使用JS混淆器混淆加密过。

 

脚本经过解密后,在代码中可以看到4个洋葱地址,但目前4个地址无法访问。

 

脚本中有4段使用Base64编码的数据,通过Base64解码后可得到4个不同的文件,分别名为certpspsfpseb。这4个文件分别对应着不同的功能:

 

脚本代码主要功能为以下几步:

第一步:结束浏览器进程

结束掉IEFireFoxchrome浏览器进程。

 

第二步:为IE添加安全证书

脚本首先在系统%TEMP%目录下释放后缀为.ps1的文件,名字为8位随机字符,此文件实际为上面的ps文件。随后调用PowerShell脚本运行此脚本,此脚本是在用户电脑上添加安全证书信息,目的是为防止用户访问https时弹出安全提示。

 

检测当前计算机是否联网,联网则获取到本地外网IP地址。

 

然后设置注册表,禁用掉浏览器代理自动检测设置(WPAD),并设置自动配置脚本地址为指定的URLURL为:

https://洋葱地址.link/8位随机字符.js?ip=本机IP

 

第三步:为Firefox添加安全证书

搜索PC上是否有安全Firefox浏览器。

 

检测到安装了Firefox则启动psf脚本,为Firefox添加安全证书。

 

第四步:运行pseb攻击模块

Pseb是主要核心攻击模块,使用永恒之蓝漏洞发起攻击,它的主要攻击代码在几个月前就已经在github上公开,但目前还在持续被使用。

 

Pseb脚本中,攻击者添加了一些自己需要的功能模块。例如会收集受害者的电脑信息并上传到指定的FTP服务器上,此FTP服务器在攻击当天是可以访问的,可以看到近100个网段被攻陷,并上传了log信息文件,但第二天服务器便被关闭掉了,攻击时间非常短暂,这极有可能是黑客对特定目标发起带有针对性的攻击。

 

脚本首先获取本机网卡的IP地址网段,如果本地有多块网卡,则会获取到多个网段。

 

随后会向所有网段的0-255机器上发起永恒之蓝漏洞攻击,如果这些机器上没有安装相关补丁则会被攻陷,脚本会向这些机器上发送shellcode

 

这一段shellcode最后会执行PowerShell命令,他的参数是一段Base64编码过的数据。

 

将这段数据用Base64解码后,可以看到PowerShell的参数是到galeona.com网站上下载一个新的PowerShell脚本。

 

galeona网站在2017831日就已被其他安全研究机构定义为Locky

 

在持续对上面5个恶意下载网址进行跟踪时,发现服务器上还存在其他恶意文件,下载回来分析后确认为敲诈勒索木马,可加密用户所有的PC文件。

安全提醒:

1、查看未知邮件多加小心,邮件附件可用杀毒软件扫描确认是否安全,未知文件可上传到腾讯哈勃分析系统确认是否安全。

2、非必要则关闭Office宏功能,防止宏病毒运行。

3、及时更新微软漏洞补丁,阻止已知漏洞攻击。

4、安装并开启杀毒引擎,防患于未然。

 

反病毒实验室微信公众号:

 

资讯排行