永恒之蓝下载器木马升级更新没完没了，新增无文件攻击

宅客频道消息，3月8日腾讯御见威胁情报中心发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。

此次更新仍然在于攻击模块，但是其特点在于，攻击模块不再由此前植入的母体PE文件进行释放，而是转为由感染后机器上安装的Powershell后门进行下载。分析发现，此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载，导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。

“永恒之蓝”木马下载器黑产团伙时间线：

2018年12月14日，利用“驱动人生”系列软件升级通道下载，利用“永恒之蓝”漏洞攻击传播；

2018年12月19日，下载之后的木马新增Powershell后门安装；

2019年1月09日，检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载；

2019年1月24日，木马将挖矿组件、升级后门组件分别安装为计划任务，并同时安装Powershell后门；  

2019年1月25日，木马在1月24日的基础上再次更新，将攻击组件安装为计划任务，在攻击时新增利用mimikatz搜集登录密码，SMB弱口令爆破攻击，同时安装Powershell计划任务和hta计划任务；

2019年2月10日，将攻击模块打包方式改为Pyinstaller.；

2019年2月20日，更新矿机组件，下载释放XMRig矿机，以独立进程启动挖矿；

2019年2月23日，攻击方法再次更新，新增MsSQL爆破攻击；

2019年2月25日，在2月23日基础上继续更新，更新MsSQL爆破攻击时密码字典，添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击，同时使用黑客工具mimiktaz、psexec进行辅助攻击；

2019年3月6日，通过已感染机器后门更新Powershell脚本横向传播模块ipc；

2019年3月8日，通过已感染机器后门更新PE文件横向传播模块ii.exe。

对此建议用户：

服务器暂时关闭不必要的端口（如135、139、445）；

服务器使用高强度密码，切勿使用弱口令，防止黑客暴力破解； 

使用杀毒软件拦截可能的病毒攻击，中毒电脑及时查杀病毒。

戳蓝字查看更多精彩内容 探索篇 ▼   暗网【上】|  暗网【下】 薅羊毛 | 黑客武器库| 威胁猎人 剁手赚钱 | 0Day攻击 | 暗黑女主播 踩雷 |嗑药坐牢重归正途 | 内鬼 脑内植入 真相篇 ▼ 拼多多将追回“薅羊毛”订单，包括已充话费和Q币订单 75条笑死人的知乎神回复，用60行代码就爬完了 不剁手也吃土？可能是挖矿木马掏空你的钱包 游戏黑产：我还在空中跳伞，就被人用拳头远程打死 都8012年了，英国卫生部门居然还在为“擦屁股” 与病毒名称相似，“捏脸”游戏ZEPETO涉嫌窃听？ 扎心！Tumblr推AI鉴黄计划夺老司机“珍爱” 我报了个税，隐私就被扒光了？ 黑客骗局：Ins网红落难记 人物篇 ▼ 专访：“蹲坑神器”与它背后男人们不得不说的故事 磨刀人王伟：我前期砸了两个亿做这套方案 白帽汇的赵武摘掉了他的“帽子”｜专访 数字联盟刘晶晶：四年只做一个产品 长亭科技陈宇森：我打破的四个质疑 薛锋：我眼中的威胁情报三年之变 “无锁不开”女黑客——skye 知道创宇赵伟：怼死“空气币” 李均：我眼中的黑客精神 风宁：自由追风者 更多精彩正在整理中……

---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域，讲述黑客背后的故事。

长按下图二维码并识别关注