快捷搜索:  网络  渗透  后门  CVE  扫描  木马  黑客  as

大规模SMB爆破诱发的十年之思

近日,千里目安全实验室EDR安全团队持续收到大批企业用户反馈,称其内网很多服务器存在大规模SMB爆破征象,但始终查不到问题根因。

我们深入研究发现,这是服务器中了飞客蠕虫以后,横向提议的大规模SMB爆破。由于此变种飞客蠕虫组织精巧,以注入方式驻留体进程当中,且病毒体文件具备隐躲以及匹敌属性,无比难以察觉。

有趣的是,飞客蠕虫早在2008年伴随着MS08-067漏洞就出现了,期间出现了多个变异版本。MS08-067漏洞最早在2008年即发布,距今有十年之久,仍旧有大批用户感染,无比值得沉思!此外,主机在修复漏洞的情形下,通过IPC方式的弱暗码SMB爆破,仍旧可以感染目标主机!

在此,我们再次提醒用户,安全无小事,即使是十年之久的老漏洞,也要勤打补丁,同时要避免主机弱暗码问题,防止被爆破成功!

0×01 攻击场景

此次攻击,场景相对于比较复杂,但组织精巧,病毒体仅仅是一个几百KB的dll。这里以mwpxx.dll为例,此文件即飞客蠕虫病毒体。通常,飞客蠕虫病毒体,是以随机名字命令的dll文件。

图片.png

如上图,mwpxx.dll病毒体可以被多个体进程加载或注入。体系进程一旦加载或注入成功,便自动携带了一整套的飞客蠕虫攻击功能,包括提权、探测目标主机体系版本、MS08-067漏洞攻击、SMB爆破、感染挪移设备、下载恶意文件、连接C&C服务器等等。

攻击顺序以下:

1.rundll32.exe或service.exe加载mwpxx.dll,执行飞客蠕虫功能。

2.判定体系进程svchost.exe以及explorer.exe是否存在mwpxx.dll,如否则使用APC注入mwpxx.dll。

3.注入成功后,进行提权。

4.内网探测目标主机体系版本,为MS08-067以及SMB爆破做预备。

5.执行MS08-067漏洞攻击,如成功则复制病毒体自身到目标主机并运行起来。

6.不论漏洞攻击是否成功,都会对目标主机进行基于IPC的SMB爆破,黑客网,成功则一样复制病毒体自身到目标主机。

7.遍历体系,尝试发现并感染挪移设备。

8.下载恶意文件,连接C&C服务器。

步骤5以及6,即漏洞攻击以及SMB爆破,只需有一种成功,则成功感染一台内网主机,感染后的主机又重复1到8步骤。

0×02 漏洞攻击

要是Payload是通过service.exe进行加载的,则通过NetpwPathCanonicalize触发,执行MS08-067漏洞攻击。

图片.png

触发漏洞以后,发送相应的恶意代码给包含MS08-067漏洞的主机。

图片.png

要是Payload是通过svchost.exe -k netsvcs加载的,一样执行NetpwPathCanonicalize触发后面要执行的MS08-067漏洞攻击。

图片.png

当Payload是通过svchost.exe -k NetworkService加载的,则Hook DN相干函数操作。

图片.png

防止杀毒软件走访网站进行下载升级,相干的杀毒软件列表以下。

图片.png

0×03 SMB爆破

不论漏洞攻击是否成功,飞客蠕虫都会通过IPC攻击开放SMB端口的主机,并进行爆破。因此,内网很可能存在大规模的SMB爆破征象。

图片.png

爆破的暗码字典:

图片.png

0×04 感染挪移设备

飞客蠕虫执行后,还会感染挪移存储设备,以下图。

图片.png

图片.png

图片.png

复制自身到下面的路径:

“\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\”,然后通过

rundll32.exe \RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\payload.dll,ekepuf来执行Payload程序,同时将这行命令写入到可挪移磁盘的autorun.inf文件中,进行挪移磁盘的感染。

0×05 连接C&C服务器

飞客蠕虫通过解析XML来控制相应的收集要求端口,以下图所示:

图片.png

图片.png

发送的数据包格式,以下图所示:

图片.png

判定时间,尝试解析相应的域名地址(baidu.com、google.com、yahoo.com、msn.com、ask.com、w3.org等),判定收集是否连通,以下图所示:

图片.png

然后通过gethostbyname获得主机名,并通过相应的域名产生算法,生成随机域名,然后连接下载并执行相应的程序。

图片.png 图片.png

相应的域名生成算法(DGA): 图片.png

0×05 解决方案

一、隔离感染主机:已中毒计算机绝快隔离,关闭所有收集连接,禁用网卡。

2、切断传播路子:关闭潜伏终端的SMB 445等收集同享端口,关闭异常的外联走访。

三、查找攻击源:借助安全感知类产品定位攻击源。

四、查杀病毒:使用专杀http://media.kaspersky.com/utilities/VirusUtilities/EN/kidokiller.zip。

五、修补漏洞:打上“MS08-067”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2008/ms08-067)。

六、修改暗码:要是主机账号暗码比较弱,建议重置高强度的暗码。

*

您可能还会对下面的文章感兴趣: