Wannacry ExternalBlue漏洞又被利用 Backdoor.Nitol和Gh0st远程控制恶意软件正在传播

简介:

在WannaCry 勒索病毒中被使用的ExternalBlue, 现在正被用来分发 Backdoor.Nitol和 Gh0st 远程控制RAT恶意软件。FireEye 的安全研究人员说, 正如 WannaCry 网络犯罪分子所做的那样, 威胁行为者也是利用了相同的 microsoft 服务器消息块 (smb) 协议漏洞 (MS017-010)。

FireEye称ExternalBlue漏洞又被利用

合著者Ali Islam,Christopher Glyer及 Barry Vengerik在星期五发布的 FireEye 报告中写道 

"我们实验室中设置了易受 smb 攻击的机器,它正在被攻击,攻击者使用 EternalBlue 漏洞,试图获取对机器的 shell 访问"

attacked%20info.png

Backdoor.Nitol及Gh0st RAT木马工作机制

Gh0st RAT是一个木马,针对 windows 平台的攻击已有多年。其中应用了一个国家级的工具pimarily , 用来攻击政府机构、活动分子和其他政治目标。就在Gh0st 成为新闻的时候, 其远程控制实例被 Shodan的恶意软件猎手捕获 ,该平台用于寻找C&C服务器。

据 FireEye研究员表示,Backdoor.Nitol跟使用ADODB.Stream ActiveX Object 的远程代码执行漏洞的攻击活动相关,该漏洞影响早期版本的 ie 浏览器。在过去, Backdoor.Nitol及 Gh0st也利用了 CVE-2014-6332 漏洞传播,同时涉及到利用powershell 命令进行垃圾邮件传播。

"在 smb 级别使用的初始开发技术 (Backdoor.Nitol and Gh0st) 类似于我们在 WannaCry 事件中所看到的,

但是, 一旦机器被成功感染, 这个特定的攻击将打开一个 shell, 将指令写入一个 vbscript 文件, 然后执行它以在另一台服务器上获取payload, "

研究人员说, 他们已经看到了同样的 EternalBlue 和 vbscript 组合, 被用于在新加坡的 Gh0st RAT传播,以及在南亚区域进行的Backdoor.Nitol传播活动。

Backdoor.Nitol and Gh0st 利用 windows的 分析,一直在追踪 WannaCry 背后的威胁参与者,攻击者将特制的消息发送到 microsoft SMBv1 服务器。

攻击者将指令反射到新的 "1.vbs" 文件中, 以便稍后执行。 这些指令在同步调用中,从另一台服务器获取有效payload "taskmgr.exe"。 此操作将创建一个 activex 对象 adodb.Stream, 它允许读取来自服务器的文件, 并在流中写入二进制数据的结果, "

研究人员说。

最终, " 1.vbs" 通过命令行版本的 windows 脚本主机执行WSH, 删除 vbs 文件。一旦获取并保存了可执行文件, 攻击者就会使用 shell 从保存的位置启动后门, "

接下来, 下载Nitol 或Gh0st RAT 二进制文件。

"将 EternalBlue 利用添加到 metasploit, 使威胁参与者能够很容易地利用这些漏洞。在接下来的几周和几个月里, 我们可能看到更多的攻击者利用这些漏洞, 并将这种感染传播到不同的有效payload上。

Metasploit 是一款开源的安全漏洞检测工具,可以帮助安全和IT专业人士识别安全性问题,验证漏洞的缓解措施,并管理专家驱动的安全性进行评估,提供真正的安全风险情报。


原文发布时间:2017年6月5日

本文由:threatpost发布,版权归属于原作者

原文链接:http://toutiao.secjia.com/wannacry-externalblue-backdoor-nitol-gh0st-rat

本文来自云栖社区合作伙伴安全加,了解相关信息可以关注安全加网站

相关文章
|
10月前
|
监控 安全 网络安全
服务器被专门针对零日漏洞的.locked勒索病毒攻击,数据能否恢复?
        近日,国内多家公司服务器感染了后缀.locked勒索病毒,公司的服务器文件全部被加密,急需数据恢复,否则公司运作无法进行,部分企业经联系数据恢复工程师远程查看,并沟通协商了相应的解决方案,通过双方远程协同配合,最终在当天顺利完整恢复数据。
256 0
服务器被专门针对零日漏洞的.locked勒索病毒攻击,数据能否恢复?
|
10月前
|
存储 安全 算法
locked勒索病毒利用零日漏洞,企业服务器数据瞬间遭受致命加密
近日,网络安全界再次爆发了一起令人震惊的事件,一种名为"Locked"的勒索病毒利用软件中的零日漏洞,迅速传播并瞬间加密了大量企业服务器。这一事件引发了广泛的关注和恐慌,暴露出网络安全的脆弱性和企业在面对新兴威胁时的不足之处。91数据恢复在本文将对这一事件进行深入分析,探讨相关的影响和可能的防范措施。
locked勒索病毒利用零日漏洞,企业服务器数据瞬间遭受致命加密
|
11月前
|
分布式计算 安全 网络协议
Zerobot僵尸网络出现了新的漏洞利用和功能
Zerobot僵尸网络出现了新的漏洞利用和功能
|
云安全 监控 安全
攻击者使用showDoc的漏洞传播僵尸网络
近日,阿里云安全团队基于威胁情报挖掘网络攻击日志的过程中,发现了使用showDoc漏洞传播僵尸网络和挖矿软件的攻击事件,使用该手法传播僵尸网络暂未被公开报告过。
1268 0
攻击者使用showDoc的漏洞传播僵尸网络
|
监控 安全 测试技术
关于防勒索病毒的两款软件的测试比对
防勒索病毒软件的POC测试比对
622 0
关于防勒索病毒的两款软件的测试比对
|
安全 网络安全 Windows
勒索病毒预防实战:有的PC打不上补丁怎办?
家里有三台Windows 7 PC,其中两台居然打不上补丁…
2196 0
|
数据安全/隐私保护 iOS开发 MacOS
新型MacOS勒索软件:正在伪装成PS软件传播
本文讲的是新型MacOS勒索软件:正在伪装成PS软件传播,几天前, ESET公司的安全专家发现了一种新型的MacOS勒索软件,属于非常珍贵的物种。这一勒索软件被命名为OSX/Filecoder.E,主要是通过bittorrent网站攻击MacOS用户。
1393 0
|
Web App开发 前端开发 安全
破解索尼PS4系列:利用网页漏洞实现相关的ROP攻击(一)
本文讲的是破解索尼PS4系列:利用网页漏洞实现相关的ROP攻击(一),目前关于PS4的黑客攻击还非常的少,但这并不能说明PS4 系统非常安全,黑客不会对其发动攻击。本文的目的就是找出PS4的一系列漏洞,最终来获得PS4的内核执行代码。
3482 0
|
安全 Java
Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染
本文讲的是Elasticsearche僵尸网络:超过4000台服务器遭到两款POS 恶意软件感染,Kromtech 安全中心最近对一些可以公开访问的ElasticSearch节点进行研究后发现,在ElasticSearch文件结构中存在一些与其没有任何关系的可疑索引名称。
1771 0