Wannacry ExternalBlue漏洞又被利用 Backdoor.Nitol和Gh0st远程控制恶意软件正在传播-阿里云开发者社区

开发者社区> 安全> 正文

Wannacry ExternalBlue漏洞又被利用 Backdoor.Nitol和Gh0st远程控制恶意软件正在传播

简介:

在WannaCry 勒索病毒中被使用的ExternalBlue, 现在正被用来分发 Backdoor.Nitol和 Gh0st 远程控制RAT恶意软件。FireEye 的安全研究人员说, 正如 WannaCry 网络犯罪分子所做的那样, 威胁行为者也是利用了相同的 microsoft 服务器消息块 (smb) 协议漏洞 (MS017-010)。

FireEye称ExternalBlue漏洞又被利用

合著者Ali Islam,Christopher Glyer及 Barry Vengerik在星期五发布的 FireEye 报告中写道 

"我们实验室中设置了易受 smb 攻击的机器,它正在被攻击,攻击者使用 EternalBlue 漏洞,试图获取对机器的 shell 访问"

attacked%20info.png

Backdoor.Nitol及Gh0st RAT木马工作机制

Gh0st RAT是一个木马,针对 windows 平台的攻击已有多年。其中应用了一个国家级的工具pimarily , 用来攻击政府机构、活动分子和其他政治目标。就在Gh0st 成为新闻的时候, 其远程控制实例被 Shodan的恶意软件猎手捕获 ,该平台用于寻找C&C服务器。

据 FireEye研究员表示,Backdoor.Nitol跟使用ADODB.Stream ActiveX Object 的远程代码执行漏洞的攻击活动相关,该漏洞影响早期版本的 ie 浏览器。在过去, Backdoor.Nitol及 Gh0st也利用了 CVE-2014-6332 漏洞传播,同时涉及到利用powershell 命令进行垃圾邮件传播。

"在 smb 级别使用的初始开发技术 (Backdoor.Nitol and Gh0st) 类似于我们在 WannaCry 事件中所看到的,

但是, 一旦机器被成功感染, 这个特定的攻击将打开一个 shell, 将指令写入一个 vbscript 文件, 然后执行它以在另一台服务器上获取payload, "

研究人员说, 他们已经看到了同样的 EternalBlue 和 vbscript 组合, 被用于在新加坡的 Gh0st RAT传播,以及在南亚区域进行的Backdoor.Nitol传播活动。

Backdoor.Nitol and Gh0st 利用 windows的 分析,一直在追踪 WannaCry 背后的威胁参与者,攻击者将特制的消息发送到 microsoft SMBv1 服务器。

攻击者将指令反射到新的 "1.vbs" 文件中, 以便稍后执行。 这些指令在同步调用中,从另一台服务器获取有效payload "taskmgr.exe"。 此操作将创建一个 activex 对象 adodb.Stream, 它允许读取来自服务器的文件, 并在流中写入二进制数据的结果, "

研究人员说。

最终, " 1.vbs" 通过命令行版本的 windows 脚本主机执行WSH, 删除 vbs 文件。一旦获取并保存了可执行文件, 攻击者就会使用 shell 从保存的位置启动后门, "

接下来, 下载Nitol 或Gh0st RAT 二进制文件。

"将 EternalBlue 利用添加到 metasploit, 使威胁参与者能够很容易地利用这些漏洞。在接下来的几周和几个月里, 我们可能看到更多的攻击者利用这些漏洞, 并将这种感染传播到不同的有效payload上。

Metasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。


原文发布时间:2017年6月5日

本文由:threatpost发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/wannacry-externalblue-backdoor-nitol-gh0st-rat

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

分享:
+ 订阅

云安全开发者的大本营

其他文章