php木马扫描器永恒之蓝下载器木马内测中意图弃旧方换新药

2018年12月14日，攻击团伙通过“驱动人生”更新通道下发“永恒之蓝下载器木马”，被下发的木马包含横向传播模块和加载模块（加载挖矿功能）两部分。
这些攻击模块都以PE文件的形式存在，带有数字署名“ShenzhenSmartspace Software technology Co.,Limited”，并且都是由“驱动人生”更新通道下发或是其下发木马的衍生物。

图12018年12月14日“驱动人生”更新通道下发的木马

植入操持任务后门

php木马扫描器永恒之蓝下载器木马内测中意图弃旧方换新药 jQuery

伺机“独立运营”

5天之后，攻击者在更新横向传播模块的同时，还向受害打算机中植入一个操持任务后门。
该操持任务通过PowerShell从hxxp://r.minicen.ga/r?p下载恶意代码实行（详细细节请移步http://www.360.cn/n/10528.html）。

虽然当时域名r.minicen.ga并未解析，但这仍旧不影响这个操持任务后门在该组织未来攻击中所扮演的主要角色。
2019年1月26日，攻击者变动了操持任务后门连接的url为hxxp://v.beahh.com/v，这个url被沿用至今。

之后的各类迹象表明，攻击者在受害者机器上植入后门绝对是故意为之。
2019年2月20日，该操持任务后门经由多次测试之后开始稳定地从hxxp://v.beahh.com/v下载恶意载荷实行。
而下载的恶意载荷便是攻击者开拓的新挖矿模块，该挖矿模块将代替旧的挖矿模块加载器svhhost.exe。
不丢脸出，第一个攻击模块——挖矿模块已经从“驱动人生”更新通道下发的木马框架中分开。

图22019年2月20日挖矿模块从原有框架分开

动手测试僵尸机

意图“借壳上市”

2019年3月5日，360安全大脑监测创造，该攻击事宜的幕后掌握者在进行小范围的测试，测试中的僵尸机不超过100台。
这些机器将通过操持任务后门从hxxp://v.beahh.com/eb下载横向传播模块。
该横向传播模块由PowerShell编写，且代码经由大量稠浊。
虽然当时该模块依然未编写完成，但攻击者的测试一贯在持续中。

图3 未编写完成的横向传播模块

仅一天之后，我们又创造了一例攻击事宜幕后掌握者的测试，这次测试范围较前一日的更小。
在这次测试中，僵尸机通过操持任务后门从hxxp://v.beahh.com/ipc下载横向传播模块到本地址实行。
不同于上次测试，这次横向传播模块已经编写完毕。

该横向传播模块包含Invoke-WC、Invoke-SMBC和eb7三个扫描器，分别通过WMI弱口令爆破、SMB弱口令爆破和“永恒之蓝”漏洞攻击武器攻击其他打算机。

图4 Invoke-WC部分代码

图5 Invoke-SMBC代码

图6 eb7部分代码

完成横向渗透之后，木马将在启动目录下写入后门文件，后门从hxxp://v.beahh.com/ipc下载恶意载荷并实行。
值得一提的是，攻击者复用Invoke-ReflectivePEInjection项目代码，试图通过反射注入在PowerShell进程中完成所有事情，以实现“无文件”攻击。

图7 横向传播模块渗透成功后植入的后门

通过剖析这次更新不难创造，攻击者试图将所有模块从老的木马中分开并独立运营，这是一次完美的“借壳上市”。
一旦攻击者结束测试并开始大范围履行更新，安全软件将更难查杀有“无文件”攻击模式加持的木马。

图8 下阶段攻击模块可能将完备从老的传播渠道中分开

由于新的一轮攻击尚处于测试阶段，360安全大脑提醒广大用户做好以下几点防御方法，以应对即将到来的攻击：

1. 及时安装系统和主要软件的安全补丁。