雷鋒網(wǎng)消息，3月8日騰訊御見威脅情報(bào)中心發(fā)現(xiàn)曾利用驅(qū)動(dòng)人生公司升級渠道的永恒之藍(lán)下載器木馬再次更新。

此次更新仍然在于攻擊模塊，但是其特點(diǎn)在于，攻擊模塊不再由此前植入的母體PE文件進(jìn)行釋放，而是轉(zhuǎn)為由感染后機(jī)器上安裝的Powershell后門進(jìn)行下載。分析發(fā)現(xiàn)，此次新啟用的PE攻擊模塊下載地址同時(shí)還負(fù)責(zé)Powshell腳本攻擊模塊的下載，導(dǎo)致已感染的機(jī)器對其他機(jī)器發(fā)起PE文件攻擊和“無文件”攻擊。

“永恒之藍(lán)”木馬下載器黑產(chǎn)團(tuán)伙時(shí)間線：

2018年12月14日，利用“驅(qū)動(dòng)人生”系列軟件升級通道下載，利用“永恒之藍(lán)”漏洞攻擊傳播；

2018年12月19日，下載之后的木馬新增Powershell后門安裝；

2019年1月09日，檢測到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載；

2019年1月24日，木馬將挖礦組件、升級后門組件分別安裝為計(jì)劃任務(wù)，并同時(shí)安裝Powershell后門；  

2019年1月25日，木馬在1月24日的基礎(chǔ)上再次更新，將攻擊組件安裝為計(jì)劃任務(wù)，在攻擊時(shí)新增利用mimikatz搜集登錄密碼，SMB弱口令爆破攻擊，同時(shí)安裝Powershell計(jì)劃任務(wù)和hta計(jì)劃任務(wù)；

2019年2月10日，將攻擊模塊打包方式改為Pyinstaller.；

2019年2月20日，更新礦機(jī)組件，下載釋放XMRig礦機(jī)，以獨(dú)立進(jìn)程啟動(dòng)挖礦；

2019年2月23日，攻擊方法再次更新，新增MsSQL爆破攻擊；

2019年2月25日，在2月23日基礎(chǔ)上繼續(xù)更新，更新MsSQL爆破攻擊時(shí)密碼字典，添加樣本文件簽名。至此攻擊方法集成永恒之藍(lán)漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊，同時(shí)使用黑客工具mimiktaz、psexec進(jìn)行輔助攻擊；

2019年3月6日，通過已感染機(jī)器后門更新Powershell腳本橫向傳播模塊ipc；

2019年3月8日，通過已感染機(jī)器后門更新PE文件橫向傳播模塊ii.exe。

對此建議用戶：

1. 服務(wù)器暫時(shí)關(guān)閉不必要的端口（如135、139、445）；

2. 服務(wù)器使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解； 

3. 使用殺毒軟件攔截可能的病毒攻擊，中毒電腦及時(shí)查殺病毒。

參考來源：騰訊御見威脅情報(bào)中心

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。