“永恒之蓝”下载器木马集成“四大攻击模式” 威胁骤增再度袭来

阅读量168923

|评论1

发布时间 : 2019-08-27 12:43:19

 

2017年,借助“永恒之蓝”的WannaCry勒索病毒暴击全球;而近一年时间里,同样搭载“永恒之蓝”的下载器木马历经数十次更新,多次濒临爆发边缘。

最近,360安全大脑就再度监测到此木马出现大规模更新,并且攻击趋势显著增长。不过,广大用户不必担心,360安全大脑已国内首家支持此木马最新版本的拦截查杀,第一时间守护用户网络安全。

 

下载器木马突增RDP爆破攻击,集结四大攻击模式

从360安全大脑溯源分析来看,此轮呈现上涨趋势的“永恒之蓝”下载器木马攻击,始于8月15日前后的一次大规模更新,该木马在原有基础上增加了RDP爆破模块。360安全专家分析指出,增加RDP爆破模块后,意味着下载器木马可接收控制模块提供的弱口令以及目标机器ip地址,对目标机器发起爆破攻击。爆破成功后会在目标机器上执行恶意Powershell代码,完全控制目标机器并利用目标机器资源进行门罗币挖矿。至此,该木马的传播模块已经集成了“永恒之蓝”漏洞攻击、SMB爆破攻击、MsSQL爆破攻击、RDP爆破攻击四种攻击模式。

图1 “永恒之蓝”下载器木马近一个月攻击趋势

从病毒拆解情况来看,新增RDP爆破模块是复用了FreeRDP代码才得以实现。而在病毒运行原理上,木马会通过控制服务器下载RDP爆破程序并保存在临时文件夹下,文件名一般为wfreerdp.exe。wfreerdp.exe文件作为RDP爆破模块,将与原有的“永恒之蓝”模块、ipc爆破模块和MsSQL爆破模块共存,以此对网络中存在漏洞或者弱口令设备发起攻击。从360安全大脑给出的弱口令字典来看,包括saadmin、123.com、Huawei@123、1qaz@WSX等在内的百余个弱口令都在攻击范围之内,威胁十分严峻。

图2 RDP爆破模块部分代码示意图

RDP模块复用了其他模块使用的弱口令字典 ,字典中包含的弱口令如下表所示:

弱口令

saadmin

123456

password

PASSWORD

123.com

admin@123

Aa123456

qwer12345

Huawei@123

123@abc

golden

123!@#qwe

1qaz@WSX

Ab123

1qaz!QAZ

Admin123

Administrator

Abc123

Admin@123

999999

Passw0rd

123qwe!@#

football

welcome

1

12

21

123

321

1234

12345

123123

123321

111111

654321

666666

121212

000000

222222

888888

1111

555555

1234567

12345678

123456789

987654321

admin

abc123

abcd1234

abc@123

p@ssword

P@ssword

p@ssw0rd

P@ssw0rd

P@SSWORD

P@SSW0RD

P@w0rd

P@word

iloveyou

monkey

login

passw0rd

master

hello

qazwsx

password1

qwerty

baseball

qwertyuiop

superman

1qaz2wsx

fuckyou

123qwe

zxcvbn

pass

aaaaaa

love

administrator

qwe1234A

qwe1234a

123123123

1234567890

88888888

111111111

112233

a123456

123456a

5201314

1q2w3e4r

qwe123

a123456789

123456789a

dragon

sunshine

princess

!@#$%^&*

charlie

aa123456

homelesspa

1q2w3e4r5t

sa

sasa

sa123

sql2005

sa2008

abc

abcdefg

sapassword

Aa12345678

ABCabc123

sqlpassword

sql2008

11223344

admin888

qwe1234

A123456

 

数十次更新后威胁堪比“定时炸弹”,360国内首家支持查杀!

2018年底至今,在360安全大脑持续追踪的大半年里,下载器木马凭借“可随时更新木马组件”的灵活性,历经数十次更新迭代,已从早期的初级版本变身为现今兼具RDP爆破模块与“永恒之蓝”漏洞双重威力的难缠木马。

病毒发布与重大更新的时间点:

时间

重大更新阶段

2018/12/13

病毒最初版本制作完成

2018/12/14

病毒开始传播

2018/12/19

第一次大规模更新,下发Powershell后门

2019/1/7

更新部分文件,修改了CC服务器

2019/1/25

第二次大规模传播,新增了“口令爆破”传播方式

2019/2/23

木马的传播模块新增了MsSQL数据库弱口令爆破功能

2019/3/5

脱离”驱动人生”框架,独立运营;

2019/8/15

第三次大规模传播,新增“RDP爆破”传播方式

下载器木马频繁升级,攻击力“扶摇直上”,广大用户该如何抵挡木马的“奇袭”?在360安全大脑的赋能下,360安全卫士不仅首家监测到此木马新一轮的更新,并且无需升级即可拦截查杀;除此以外,360安全卫士还带有“永恒之蓝”漏洞免疫功能,可进一步保护用户免遭木马与“永恒之蓝”漏洞的双重威胁。

此外,360安全专家针对此次病毒的攻击模式,也给出了权威的网络安全防护建议:

1、360安全卫士能够第一时间拦截“永恒之蓝”下载器木马的RDP爆破模块,建议广大用户及时前往www.weishi.360.cn下载安装360安全卫士保护计算机安全;

2.    尽量使用包含数字、大小写字母、特殊字符等多个字符组成的较高强度的系统登录密码与数据库登录密码,不要使用弱口令; 请广大的管理员通过弱口令列表进行自检,防御“永恒之蓝”下载器木马的爆破攻击;

3. 及时安装系统和重要软件的安全补丁,修补系统漏洞。

本文由360安全卫士原创发布

转载,请参考转载声明,注明出处: https://www.anquanke.com/post/id/185116

安全客 - 有思想的安全新媒体

分享到:微信
+10赞
收藏
360安全卫士
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66