在WannaCry 勒索病毒中被使用的ExternalBlue, 现在正被用来分发 Backdoor.Nitol和 Gh0st 远程控制RAT恶意软件。FireEye 的安全研究人员说, 正如 WannaCry 网络犯罪分子所做的那样, 威胁行为者也是利用了相同的 microsoft 服务器消息块 (smb) 协议漏洞 (MS017-010)。
FireEye称ExternalBlue漏洞又被利用
合著者Ali Islam,Christopher Glyer及 Barry Vengerik在星期五发布的 FireEye 报告中写道 。
"我们实验室中设置了易受 smb 攻击的机器,它正在被攻击,攻击者使用 EternalBlue 漏洞,试图获取对机器的 shell 访问"
Backdoor.Nitol及Gh0st RAT木马工作机制
Gh0st RAT是一个木马,针对 windows 平台的攻击已有多年。其中应用了一个国家级的工具pimarily , 用来攻击政府机构、活动分子和其他政治目标。就在Gh0st 成为新闻的时候, 其远程控制实例被 Shodan的恶意软件猎手捕获 ,该平台用于寻找C&C服务器。
据 FireEye研究员表示,Backdoor.Nitol跟使用ADODB.Stream ActiveX Object 的远程代码执行漏洞的攻击活动相关,该漏洞影响早期版本的 ie 浏览器。在过去, Backdoor.Nitol及 Gh0st也利用了 CVE-2014-6332 漏洞传播,同时涉及到利用powershell 命令进行垃圾邮件传播。
"在 smb 级别使用的初始开发技术 (Backdoor.Nitol and Gh0st) 类似于我们在 WannaCry 事件中所看到的,
但是, 一旦机器被成功感染, 这个特定的攻击将打开一个 shell, 将指令写入一个 vbscript 文件, 然后执行它以在另一台服务器上获取payload, "
研究人员说, 他们已经看到了同样的 EternalBlue 和 vbscript 组合, 被用于在新加坡的 Gh0st RAT传播,以及在南亚区域进行的Backdoor.Nitol传播活动。
Backdoor.Nitol and Gh0st 利用 windows的 分析,一直在追踪 WannaCry 背后的威胁参与者,攻击者将特制的消息发送到 microsoft SMBv1 服务器。
攻击者将指令反射到新的 "1.vbs" 文件中, 以便稍后执行。 这些指令在同步调用中,从另一台服务器获取有效payload "taskmgr.exe"。 此操作将创建一个 activex 对象 adodb.Stream, 它允许读取来自服务器的文件, 并在流中写入二进制数据的结果, "
研究人员说。
最终, " 1.vbs" 通过命令行版本的 windows 脚本主机执行WSH, 删除 vbs 文件。一旦获取并保存了可执行文件, 攻击者就会使用 shell 从保存的位置启动后门, "
接下来, 下载Nitol 或Gh0st RAT 二进制文件。
"将 EternalBlue 利用添加到 metasploit, 使威胁参与者能够很容易地利用这些漏洞。在接下来的几周和几个月里, 我们可能看到更多的攻击者利用这些漏洞, 并将这种感染传播到不同的有效payload上。
Metasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。
原文发布时间:2017年6月5日
本文由:threatpost发布,版权归属于原作者
原文链接:http://toutiao.secjia.com/wannacry-externalblue-backdoor-nitol-gh0st-rat
本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站
