永恆之藍下載器木馬再度更新,新增SMBGhost漏洞利用及Redis數據庫爆破模塊
原創 紅雨滴團隊 [奇安信威脅情報中心](javascript:void(0)😉 今天
2020年6月10日,奇安信威脅情報中心中心監測到永恆之藍下載器木馬再度更新,木馬在原有SMBGhost漏洞監測模塊的基礎上,新增漏洞利用模塊。此外還新增Redis數據庫爆破模塊。SMBGhost (CVE-2020-0796)是SMB服務遠程代碼執行漏洞,攻擊者可能利用此漏洞遠程無需用戶驗證通過發送構造特殊的惡意數據導致在目標系統上執行惡意代碼,從而獲取機器的完全控制。2020年6月2日已有國外有安全人員發佈可以導致利用此漏洞進行遠程代碼執行的POC,詳情參考:
更新 | 遠程命令執行POC被公開發布:微軟SMBv3服務遠程代碼執行漏洞(CVE-2020-0796)通告
更新的腳本從新URL http://t.amynx.com/smgh.jsp下載,經過多層下載及解密後獲得永恆之藍下載器木馬爆破及漏洞利用模塊,新增的模塊函數爲smbghost_exec:
smgh.bin是漏洞利用代碼,是python3編譯的exe文件,解包後得到python腳本編寫的漏洞利用程序,參考https://www.exploit-db.com/exploits/48537。
Redis爆破模塊(redisexec)的功能爲,掃描內外網中開啓6379端口的IP並在其中沒有密碼的Linux計算機中寫入計劃任務執行挖礦命令。
目前永恆之藍下載器木馬已集成多種漏洞利用及弱口令爆破模塊並仍在持續更新:
| 漏洞掃描及利用 | 弱口令爆破 |
|---|---|
| MS17-010漏洞利用 | RDP爆破 |
| Lnk漏洞(CVE-2017-8464)利用 | SMB爆破 |
| SMBGhost漏洞(CVE-2020-0796)利用 | MSSQL爆破 |
| SSH爆破 | |
| Redis爆破 |
奇安信威脅情報中心在此提醒各位用戶,對於重點服務器和主機,做好網絡安全域劃分並及時打漏洞補丁,防止利用此漏洞的橫向攻擊。開啓Windows防火牆,儘量關閉3389、445、139、135等不用的高危端口。每臺服務器設置唯一口令,且複雜度要求採用大小寫字母、數字、特殊符號混合的組合結構,口令位數足夠長(15位、兩種組合以上)。
IOC:
99ecca08236f6cf766d7d8e2cc34eff6
5b3c44b503c7e592e416f68d3924620f
t.amynx.com
t.zer9g.com
t.zz3r0.com
d.ackng.com
http://t.amynx.com/smgh.jsp
http://t.amynx.com/a.jsp
http://d.ackng.com/if.bin
http://d.ackng.com/smgh.bin
參考鏈接:
永恆之藍木馬下載器發起“黑球”行動,新增SMBGhost漏洞檢測能力
https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ
轉載自https://mp.weixin.qq.com/s/TYq2ipexQTVoAWoJc33aaQ