在wannacry 勒索病毒中被使用的externalblue, 現在正被用來分發 backdoor.nitol和 gh0st 遠端控制rat惡意軟體。fireeye 的安全研究人員說, 正如 wannacry 網絡犯罪分子所做的那樣, 威脅行為者也是利用了相同的 microsoft 伺服器消息塊 (smb) 協定漏洞 (ms017-010)。
"我們實驗室中設定了易受 smb 攻擊的機器,它正在被攻擊,攻擊者使用 eternalblue 漏洞,試圖擷取對機器的 shell 通路"
據 fireeye研究員表示,backdoor.nitol跟使用adodb.stream activex object 的遠端代碼執行漏洞的攻擊活動相關,該漏洞影響早期版本的 ie 浏覽器。在過去, backdoor.nitol及 gh0st也利用了 cve-2014-6332 漏洞傳播,同時涉及到利用powershell 指令進行垃圾郵件傳播。
"在 smb 級别使用的初始開發技術 (backdoor.nitol and gh0st) 類似于我們在 wannacry 事件中所看到的, 但是, 一旦機器被成功感染, 這個特定的攻擊将打開一個 shell, 将指令寫入一個 vbscript 檔案, 然後執行它以在另一台伺服器上擷取payload, "
研究人員說, 他們已經看到了同樣的 eternalblue 和 vbscript 組合, 被用于在新加坡的 gh0st rat傳播,以及在南亞區域進行的backdoor.nitol傳播活動。
backdoor.nitol and gh0st 利用 windows的 分析,一直在追蹤 wannacry 背後的威脅參與者,攻擊者将特制的消息發送到 microsoft smbv1 伺服器。
攻擊者将指令反射到新的 "1.vbs" 檔案中, 以便稍後執行。 這些指令在同步調用中,從另一台伺服器擷取有效payload "taskmgr.exe"。 此操作将建立一個 activex 對象 adodb.stream, 它允許讀取來自伺服器的檔案, 并在流中寫入二進制資料的結果, "
研究人員說。
最終, " 1.vbs" 通過指令行版本的 windows 腳本主機執行wsh, 删除 vbs 檔案。一旦擷取并儲存了可執行檔案, 攻擊者就會使用 shell 從儲存的位置啟動後門, "
接下來, 下載下傳nitol 或gh0st rat 二進制檔案。
"将 eternalblue 利用添加到 metasploit, 使威脅參與者能夠很容易地利用這些漏洞。在接下來的幾周和幾個月裡, 我們可能看到更多的攻擊者利用這些漏洞, 并将這種感染傳播到不同的有效payload上。
metasploit 是一款開源的安全漏洞檢測工具,可以幫助安全和it專業人士識别安全性問題,驗證漏洞的緩解措施,并管理專家驅動的安全性進行評估,提供真正的安全風險情報。
原文釋出時間:2017年6月5日
本文由:threatpost釋出,版權歸屬于原作者
原文連結:http://toutiao.secjia.com/wannacry-externalblue-backdoor-nitol-gh0st-rat
本文來自雲栖社群合作夥伴安全加,了解相關資訊可以關注安全加網站
![終端環境之tmux[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)