WannaCry勒索软件爆发的余波中,安全研究人员发现,过去几周里还有其他大量攻击同样利用了“永恒之蓝”漏洞利用程序进行恶意软件投放。
该漏洞利用在4月份被自称“影子经纪人”的黑客团伙公开,是个针对 TCP 445 端口上服务器消息块(SMB)漏洞的利用程序,据说是从NSA御用黑客组织“方程式小组”手上偷来的。该程序所利用的漏洞其实早在3月份就放出了修复补丁。
WannaCry的快速传播将“永恒之蓝”推到了台前,但其他恶意软件家族早在WannaCry之前就已经在用它进行感染了。其中之一就是名为Adylkuzz的僵尸网络,自4月24日开始活跃。
如今,初创安全公司Cyphort称,一台蜜罐服务器上的证据表明,对SMB的攻击在5月初开始活跃,但不释放勒索软件,而是放出隐秘远程访问木马(RAT)。该恶意软件没有蠕虫功能,不会像WannaCry一样传播。
该恶意软件似乎是从中国的一个IP(182.18.23.38)分发的。如果漏洞利用成功,加密载荷会以shellcode的形式发出,其中嵌入了一个DLL,具备木马的基本功能,比如下载其他恶意软件和接收控制者的指令。
该恶意软件下载的文件当中,有一个文件的功能就是关闭445端口,防止其他恶意软件也利用该漏洞。另一个文件应该是个第二阶段的攻击载荷。该RAT会设置一系列注册表启动项,用以下载和执行其他恶意软件。 |
该恶意软件会尝试删除一些用户,停止/删除各种进程/文件。内存转储分析揭示,它会去连接托管在中国网站上的一个远程访问工具——ForShare 8.28。
该RAT功能全面,可以从服务器接收并执行指令,监视屏幕,捕获音频视频,监视键盘,传输数据,删除文件,终止进程,执行程序,枚举文件和进程,下载文件,以及控制机器。
因为一上来就关闭445端口,Cyphort认为,该威胁肯定知道“永恒之蓝”漏洞,并且试图让其他恶意软件无法再碰有该漏洞的机器。
Cyphort安全公司称:“我们认为,该攻击背后的组织,应该就是2月份卡巴斯基实验室发现的传播Mirai的那个。他们的攻击指标(IOC)存在共同点。”
本周一份报告中,Secdo同样宣称,发现了在WannaCry之前几周就有恶意软件利用“永恒之蓝”的证据。其中一个恶意程序,似乎还是会盗取用户凭证的勒索软件家族。
该公司研究人员称:“自4月中旬起,就有一波不留痕迹的隐秘攻击在利用NSA漏洞利用程序感染各大公司。勒索软件是其中最明显的载荷,但下面还深藏着更复杂的攻击没有被人注意到。”
作为该攻击的一部分,黑客用了基于“永恒之蓝”的一个蠕虫来感染被侵入网络中的所有主机,并在主机上部署后门或渗漏登录凭证,以期长期掌控这些主机。
其中一个攻击源于俄罗斯的IP(77.72.84.11)。利用NSA漏洞利用程序侵入后,攻击者在合法应用中创建一个线程,从SourceForge下载多个模块,包括 SQLite DLL,用来从火狐浏览器中盗取登录凭证。
被盗数据通过TOR网络渗漏出去,然后纯内存运行的CRY128勒索软件变种被启动,将系统上所有文档加密。 |
最近发现的通过“永恒之蓝”传播的UIWIX勒索软件,同样只在内存执行,形成无文件感染。UIWIX也包含用来盗取更多凭证的代码。
另一个攻击涉及中国黑客,会在被感染主机上投放一个后门。该攻击始于进程注入,与上面所述攻击类似,但最后终结在下载某已知rootkit后门上(基于Agony)。被下载的文件名为666.exe,已经被杀毒软件封禁了。
Secdo指出:“鉴于以上发现,我们推测,伤害范围可能之前认为的要大很多。至少有3个不同组织,自4月底开始,就在利用NSA漏洞利用程序来感染企业网络。”
今年1月,影子经纪人拍卖SMB零日漏洞利用的时候,美国计算机应急响应小组(US-CERT)就发出了一个警告。2月,Windows SMBv3 零日漏洞 (CVE-2017-0016)被评估为高严重性级别——之前只是关键级别。