頻道欄目
首頁 > 資訊 > 企業安全 > 正文

【企業安全】大規模SMB爆破現象分析及解決方案

18-05-19        來源:[db:作者]  
收藏   我要投稿

【企業安全】大規模SMB爆破現象分析及解決方案。近日,千里目安全實驗室EDR安全團隊持續收到大量企業用戶反饋,稱其內網很多服務器存在大規模SMB爆破現象,但一直查不到問題根因。

我們深入研究發現,這是服務器中了飛客蠕蟲之后,橫向發起的大規模SMB爆破。由于此變種飛客蠕蟲構造精巧,以注入方式駐留系統進程之中,且病毒體文件具備隱藏和對抗屬性,非常難以察覺。

有趣的是,飛客蠕蟲早在2008年伴隨著MS08-067漏洞就出現了,期間出現了多個變異版本。MS08-067漏洞最早在2008年即發布,距今有十年之久,仍然有大量用戶感染,非常值得深思!此外,主機在修復漏洞的情況下,通過IPC方式的弱密碼SMB爆破,仍然可以感染目標主機!

在此,我們再次提醒用戶,安全無小事,即使是十年之久的老漏洞,也要勤打補丁,同時要避免主機弱密碼問題,防止被爆破成功!

0×01 攻擊場景

此次攻擊,場景相對比較復雜,但構造精巧,病毒體僅僅是一個幾百KB的dll。這里以mwpxx.dll為例,此文件即飛客蠕蟲病毒體。通常,飛客蠕蟲病毒體,是以隨機名字命令的dll文件。

圖片.png

如上圖,mwpxx.dll病毒體可以被多個系統進程加載或注入。系統進程一旦加載或注入成功,便自動攜帶了一整套的飛客蠕蟲攻擊功能,包括提權、探測目標主機系統版本、MS08-067漏洞攻擊、SMB爆破、感染移動設備、下載惡意文件、連接C&C服務器等等。

攻擊順序如下:

1.rundll32.exe或service.exe加載mwpxx.dll,執行飛客蠕蟲功能。

2.判斷系統進程svchost.exe和explorer.exe是否存在mwpxx.dll,如否則使用APC注入mwpxx.dll。

3.注入成功后,進行提權。

4.內網探測目標主機系統版本,為MS08-067和SMB爆破做準備。

5.執行MS08-067漏洞攻擊,如成功則復制病毒體自身到目標主機并運行起來。

6.不管漏洞攻擊是否成功,都會對目標主機進行基于IPC的SMB爆破,成功則同樣復制病毒體自身到目標主機。

7.遍歷系統,嘗試發現并感染移動設備。

8.下載惡意文件,連接C&C服務器。

步驟5和6,即漏洞攻擊和SMB爆破,只要有一種成功,則成功感染一臺內網主機,感染后的主機又重復1到8步驟。

0×02 漏洞攻擊

如果Payload是通過service.exe進行加載的,則通過NetpwPathCanonicalize觸發,執行MS08-067漏洞攻擊。

圖片.png

觸發漏洞之后,發送相應的惡意代碼給包含MS08-067漏洞的主機。

圖片.png

如果Payload是通過svchost.exe -k netsvcs加載的,同樣執行NetpwPathCanonicalize觸發后面要執行的MS08-067漏洞攻擊。

圖片.png

當Payload是通過svchost.exe -k NetworkService加載的,則Hook DN相關函數操作。

圖片.png

防止殺毒軟件訪問網站進行下載升級,相關的殺毒軟件列表如下。

圖片.png

0×03 SMB爆破

不管漏洞攻擊是否成功,飛客蠕蟲都會通過IPC攻擊開放SMB端口的主機,并進行爆破。因此,內網極可能存在大規模的SMB爆破現象。

圖片.png

爆破的密碼字典:

圖片.png

0×04 感染移動設備

飛客蠕蟲執行后,還會感染移動存儲設備,如下圖。

圖片.png
圖片.png
圖片.png

復制自身到下面的路徑:

“\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\”,然后通過

rundll32.exe \RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\payload.dll,ekepuf來執行Payload程序,同時將這行命令寫入到可移動磁盤的autorun.inf文件中,進行移動磁盤的感染。

0×05 連接C&C服務器

飛客蠕蟲通過解析XML來控制相應的網絡請求端口,如下圖所示:

圖片.png
圖片.png

發送的數據包格式,如下圖所示:

圖片.png

判斷時間,嘗試解析相應的域名地址(baidu.com、google.com、yahoo.com、msn.com、ask.com、w3.org等),判斷網絡是否連通,如下圖所示:

圖片.png

然后通過gethostbyname獲得主機名,并通過相應的域名產生算法,生成隨機域名,然后連接下載并執行相應的程序。

圖片.png
圖片.png
圖片.png

相應的域名生成算法(DGA):

圖片.png

0×05 解決方案

1、隔離感染主機:已中毒計算機盡快隔離,關閉所有網絡連接,禁用網卡。

2、切斷傳播途徑:關閉潛在終端的SMB 445等網絡共享端口,關閉異常的外聯訪問。

3、查找攻擊源:借助安全感知類產品定位攻擊源。

4、查殺病毒。

5、修補漏洞:打上“MS08-067”漏洞補丁,請到微軟官網,下載對應的漏洞補丁(https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2008/ms08-067)。

6、修改密碼:如果主機賬號密碼比較弱,建議重置高強度的密碼。

相關TAG標簽
上一篇:臺積電:絕大多數7nm客戶都會轉向6nm_IT新聞_博客園
下一篇:最后一頁
相關文章
圖文推薦

關于我們 | 聯系我們 | 廣告服務 | 投資合作 | 版權申明 | 在線幫助 | 網站地圖 | 作品發布 | Vip技術培訓 | 舉報中心

版權所有: 紅黑聯盟--致力于做實用的IT技術學習網站

美女MM131爽爽爽毛片