你以为只有WannaCry滥用了NSA漏洞?早有隐秘后门走在前面

简介:

WannaCry勒索软件爆发的余波中,安全研究人员发现,过去几周里还有其他大量攻击同样利用了“永恒之蓝”漏洞利用程序进行恶意软件投放。

该漏洞利用在4月份被自称“影子经纪人”的黑客团伙公开,是个针对 TCP 445 端口上服务器消息块(SMB)漏洞的利用程序,据说是从NSA御用黑客组织“方程式小组”手上偷来的。该程序所利用的漏洞其实早在3月份就放出了修复补丁。

WannaCry的快速传播将“永恒之蓝”推到了台前,但其他恶意软件家族早在WannaCry之前就已经在用它进行感染了。其中之一就是名为Adylkuzz的僵尸网络,自4月24日开始活跃。

如今,初创安全公司Cyphort称,一台蜜罐服务器上的证据表明,对SMB的攻击在5月初开始活跃,但不释放勒索软件,而是放出隐秘远程访问木马(RAT)。该恶意软件没有蠕虫功能,不会像WannaCry一样传播。

该恶意软件似乎是从中国的一个IP(182.18.23.38)分发的。如果漏洞利用成功,加密载荷会以shellcode的形式发出,其中嵌入了一个DLL,具备木马的基本功能,比如下载其他恶意软件和接收控制者的指令。

该恶意软件下载的文件当中,有一个文件的功能就是关闭445端口,防止其他恶意软件也利用该漏洞。另一个文件应该是个第二阶段的攻击载荷。该RAT会设置一系列注册表启动项,用以下载和执行其他恶意软件。

该恶意软件会尝试删除一些用户,停止/删除各种进程/文件。内存转储分析揭示,它会去连接托管在中国网站上的一个远程访问工具——ForShare 8.28。

该RAT功能全面,可以从服务器接收并执行指令,监视屏幕,捕获音频视频,监视键盘,传输数据,删除文件,终止进程,执行程序,枚举文件和进程,下载文件,以及控制机器。

因为一上来就关闭445端口,Cyphort认为,该威胁肯定知道“永恒之蓝”漏洞,并且试图让其他恶意软件无法再碰有该漏洞的机器。

Cyphort安全公司称:“我们认为,该攻击背后的组织,应该就是2月份卡巴斯基实验室发现的传播Mirai的那个。他们的攻击指标(IOC)存在共同点。”

本周一份报告中,Secdo同样宣称,发现了在WannaCry之前几周就有恶意软件利用“永恒之蓝”的证据。其中一个恶意程序,似乎还是会盗取用户凭证的勒索软件家族。

该公司研究人员称:“自4月中旬起,就有一波不留痕迹的隐秘攻击在利用NSA漏洞利用程序感染各大公司。勒索软件是其中最明显的载荷,但下面还深藏着更复杂的攻击没有被人注意到。”

作为该攻击的一部分,黑客用了基于“永恒之蓝”的一个蠕虫来感染被侵入网络中的所有主机,并在主机上部署后门或渗漏登录凭证,以期长期掌控这些主机。

其中一个攻击源于俄罗斯的IP(77.72.84.11)。利用NSA漏洞利用程序侵入后,攻击者在合法应用中创建一个线程,从SourceForge下载多个模块,包括 SQLite DLL,用来从火狐浏览器中盗取登录凭证。

 被盗数据通过TOR网络渗漏出去,然后纯内存运行的CRY128勒索软件变种被启动,将系统上所有文档加密。

最近发现的通过“永恒之蓝”传播的UIWIX勒索软件,同样只在内存执行,形成无文件感染。UIWIX也包含用来盗取更多凭证的代码。

另一个攻击涉及中国黑客,会在被感染主机上投放一个后门。该攻击始于进程注入,与上面所述攻击类似,但最后终结在下载某已知rootkit后门上(基于Agony)。被下载的文件名为666.exe,已经被杀毒软件封禁了。

Secdo指出:“鉴于以上发现,我们推测,伤害范围可能之前认为的要大很多。至少有3个不同组织,自4月底开始,就在利用NSA漏洞利用程序来感染企业网络。”

今年1月,影子经纪人拍卖SMB零日漏洞利用的时候,美国计算机应急响应小组(US-CERT)就发出了一个警告。2月,Windows SMBv3 零日漏洞 (CVE-2017-0016)被评估为高严重性级别——之前只是关键级别。

作者:nana
来源:51CTO

相关文章
|
存储 监控 安全
​【收藏】感染勒索病毒处置办法
​【收藏】感染勒索病毒处置办法
236 0
|
安全 数据库 数据安全/隐私保护
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
130 0
记一次公司被勒索病毒攻击事迹,上上下下咬牙切齿
|
安全 Android开发
研究称Android内核存在漏洞 黑客可窃取电邮
北京时间11月1日消息,据国外媒体报道,Coverity通过研究发现,Android智能手机操作系统内核存在漏洞,部分漏洞可以被黑客用来窃取用户的电子邮件和其他敏感信息。 Coverity是在宏达电Droid Incredible手机的Android中发现这些漏洞的,但表示,其他Android手机也可能存在相同的漏洞。
659 0
|
安全 Linux Shell
反病毒还是留后门?卡巴斯基反病毒服务器被爆多个漏洞
本文讲的是反病毒还是留后门?卡巴斯基反病毒服务器被爆多个漏洞,类别:Web页面生成(“跨站点脚本”)[CWE-79],跨站点请求伪造[ CWE-352 ],不正确的特权管理[ CWE-269 ],路由名称不正确的中和受限目录[ CWE-22 ]
1378 0
|
安全 数据安全/隐私保护 Windows
趋势科技技术分析:详解无文件勒索病毒Sorebrect
本文讲的是趋势科技技术分析:详解无文件勒索病毒Sorebrect,Fileless威胁和ransomware并不是什么新的东西,但是包含其特征组合的恶意软件却可能成为一种新的危险。例如,我们最近发现的Fileless代码注入ransomware – SOREBRECT。
1757 0