ca1464

ca1464
登录
注册
BlueHero蠕虫再升级，新增震网3代武器库，看一眼就中招腾讯电脑管家2018-08-21 首发专栏：腾讯电脑管家关注
腾讯御见威胁情报中心近日发现BlueHero蠕虫变种将LNK漏洞（CVE-2017-8464）利用纳入了攻击武器库，震网三代+永恒之蓝漏洞的多重攻击组合，使该蠕虫病毒威力大增。
0×1 概述

一周前，腾讯御见威胁情报中心曾披露BlueHero蠕虫病毒利用永恒之蓝漏洞在企业局域网内传播扩散，然后利用中毒电脑组网挖矿。本周，监测数据表明，BlueHero蠕虫病毒控制者再次升级了新的攻击手法：利用LNK漏洞（CVE-2017-8464，也被称为震网三代）加速扩散。

LNK漏洞（CVE-2017-8464）也被称为震网三代，攻击者可以构造特制的快捷方式文件来执行远程代码攻击，此类攻击之前曾被用在Stuxnet软件（大名鼎鼎的“震网”病毒，曾导致伊朗核设施严重损坏）中。将利用震网三代漏洞构造的LNK文件放到某个文件夹，打开资源管理器，看一眼文件夹就会中毒，而无须双击运行。

腾讯御见威胁情报中心发现BlueHero蠕虫变种已经将LNK漏洞（CVE-2017-8464）利用也纳入了攻击武器库，震网三代+永恒之蓝漏洞多重攻击组合，使该蠕虫病毒威力大增。

1.png

0×2 变种分析

BlueHero蠕虫病毒变种的主要行为与此前腾讯御见威胁情报中心发布的文章基本一致，该蠕虫病毒最终释放的有效载荷为门罗币挖矿木马，利用企业中毒电脑组网挖矿获利。

《蠕虫病毒bulehero再次利用“永恒之蓝”在企业内网攻击传播》

本篇技术分析主要讲述BlueHero蠕虫病毒新变种的不同之处。

新变种Dropper母体运行后会释放LNK（CVE-2017-8464））漏洞利用模块。通过在染毒机器各个磁盘根目录创建恶意LNK文件，利用漏洞加载Payload的方式，实现更加隐蔽的长期反复启动感染驻留。

由于该蠕虫主要目标为企业用户，一旦企业共享目录被病毒感染，任何访问该共享目录的存在漏洞的电脑均会被感染，这大大增强了BlueHero蠕虫病毒的扩散能力，会造成企业机器的大面积中毒，病毒最终释放的挖矿木马会严重消耗企业IT资源。

2.png

BlueHero蠕虫会在每个磁盘根目录释放恶意LNK和恶意PayLoad

3.png

病毒感染后D盘根目录下的恶意模块

4.png

BlueHero蠕虫病毒释放LNK结构

绿：SHELL_LINK_HEADER

黄：LINKTARGET_IDLIST—>IDListSize

蓝：LINKTARGET_IDLIST—>IDList—>Item1

红：LINKTARGET_IDLIST—>IDList—>Item2

粉：EXTRA_DATA—>SpecialFolderDataBlock

恶意LNK主要包含3部分，分别为SHELL_LINK_HEADER，LINKTARGET_IDLIST，EXTRA_DATA。其中LINKTARGET_IDLIST大小为0xB4，包含两个Item，Item1大小为0×14，Item2大小为0x9E。ExtraData为一个SpecialFolderDataBlock类型块结构，其中BlockSize为0×10，BlockSignature为0xA0000005，Item2_OFFSET为0×14。

下图为LNK文件结构详细说明，参考文档地址：

https://winprotocoldoc.blob.core.windows.net/productionwindowsarchives/MS-SHLLINK/[MS-SHLLINK].pdf

5.png

LNK文件组成

6.png

LINKTARGET_IDLIST结构

7.png

SpecialFolderDataBlock结构

漏洞的触发发生在SpecialFolderDataBlock的处理流程，此部分代码位于shell32.dll（Win7 x64）中。

解析SpecialFolderDataBlock结构过程中DecodeSpecialFolder函数会根据其中的偏移0×14找到前面的LINKTARGET_IDLIST—>IDList—>Item2解析得到其中的路径，最终调用TranslateAliasWithEvent将其中的路径传给CPL_LoadCPLModule调用LoadLiraryW 加载外部模块。

8.png

调用DecodeSpecialFolder解析SpecialFolderDataBlock

9.png

校验BlockSignature

10.png

得到Item2_OFFSET

11.png

调用TranslateAliasWithEvent

12.png

漏洞触发栈情况

13.png

漏洞触发加载payload

14.png

恶意payload触发后会再次拉取BuleHero下载者模块

下载者运行后则会拉取其它蠕虫攻击模块，剩余部分与之前腾讯御见威胁情报中心捕获该家族攻击模块一致。

观察蠕虫使用的门罗币钱包可知，从腾讯御见威胁情报中心首次披露该蠕虫的时间（2018.8.9）至今日（2018.8.20），该蠕虫病毒所使用钱包中的门罗币个数已由42.446增加到50.965，平均每天收益约0.77个门罗币（目前已知钱包地址）。

15.png

矿机配置

16.png

钱包信息

17.png

传播趋势看，广西、山东、宁夏受害电脑数量位居前三

0×3 IOCs

MD5

9e1b0b43df819cc42a34920183e19f92

23e8cd6bf9487a60b3dc9ccfb7480228

16ea7a2144e345ff3672977a4fb34987

9cf51a04af2bb02dbfd4327b4b866c31

8ca1464a51a29d015663dc3e791c3a83

0×4 安全建议

针对个人用户：

保持腾讯电脑管家等安全软件的运行状态，及时修复系统漏洞，实时拦截病毒风险。腾讯电脑管家可以拦截LNK漏洞攻击。

18.png

针对企业用户：

1、尽量关闭不必要的端口，减少病毒在局域网内扩散的通道。如：445、135，139等，对3389端口可进行白名单配置，只允许白名单内的IP连接登陆。

2、尽量关闭不必要的文件共享，如有需要，请使用ACL和强密码保护来限制访问权限，禁用对共享文件夹的匿名访问。

3、采用高强度的密码，避免使用弱口令密码，并定期更换密码。建议服务器密码使用高强度且无规律密码，并且强制要求每个服务器使用不同密码管理。

4、对没有互联需求的服务器/工作站内部访问设置相应控制，避免可连外网服务器被攻击后作为跳板进一步攻击其他服务器。

5、建议全网安装御点终端安全管理系统（https://s.tencent.com/product/yd/index.html）。御点终端安全管理系统具备终端杀毒统一管控、修复漏洞统一管控，以及策略管控等全方位的安全管理功能，可帮助企业管理者全面了解、管理企业内网安全状况、保护企业安全。

19.png

专栏
腾讯电脑管家
腾讯电脑管家
203 篇文章
等级： 8级
关注
||
发表评论已有 2 条评论

daozai (4级) 2018-08-21回复 1楼
也就是说这个黑客团伙一天赚几百块。厉害~

亮了(0)

daozai (4级) 2018-08-21回复 2楼
将利用震网三代漏洞构造的LNK文件放到某个文件夹，打开资源管理器，看一眼文件夹就会中毒，而无须双击运行。

这…是cve-2017-8464吗，任意文件夹都行，不通过u盘触发咯？

亮了(0)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
相关推荐
暗网非法数据交易是隐私信息安全的重大威胁
暗网非法数据交易是隐私信息安全的重大威胁
黑产从业者通过撞库攻击等方式获得的购物订单信息成为电信诈骗的关键数据，这些数据通过暗网平台交易。黑产从业者利用一些平台泄露的帐号密码等信息通过撞库手段，获取更多的用户信息。除了盗号、发广告、刷量（刷…

腾讯电脑管家2018-11-1511218
流氓软件Playbox安装目录一式两份刻意欺负非一线城市网民
流氓软件Playbox安装目录一式两份刻意欺负非一线城市网民
腾讯电脑管家发现一款名为Playbox的流氓软件频繁在用户电脑弹出广告，在安装卸载程序上动手脚，安装时会把软件分别写入两个目录。卸载时，会检测用户IP，如果不在北上广深这4个一线城市，Playbox就会卸载一份保留另…

腾讯电脑管家2018-11-1413930
“抓鸡狂魔”病毒团伙活动报告
“抓鸡狂魔”病毒团伙活动报告
“抓鸡狂魔” 病毒团伙是一个利用僵尸网络进行违法活动的地下团伙。通常通过鱼叉邮件、下载站传播远程控制木马（如Darkcomet，Njrat等）在全球范围内批量抓肉鸡。控制肉鸡后，收集用户隐私信息、机密文件或者发起DDoS…

腾讯电脑管家2018-11-0787589
披着羊皮的狼：双平台挖矿木马MServicesX分析
披着羊皮的狼：双平台挖矿木马MServicesX分析
这是一个双平台挖矿木马，该木马具有Windows和安卓双平台版本，在中毒电脑和手机上运行门罗币挖矿程序。其Windows版本MServicesX_FULL.exe使用有合法数字签名的文件借助游戏下载站传播，木马的安卓版本则伪装成Yout…

ca1464

文章评论