雷鋒網(wǎng)消息，3月8日騰訊御見威脅情報中心發(fā)現(xiàn)曾利用驅(qū)動人生公司升級渠道的永恒之藍下載器木馬再次更新。

此次更新仍然在于攻擊模塊，但是其特點在于，攻擊模塊不再由此前植入的母體PE文件進行釋放，而是轉(zhuǎn)為由感染后機器上安裝的Powershell后門進行下載。分析發(fā)現(xiàn)，此次新啟用的PE攻擊模塊下載地址同時還負責Powshell腳本攻擊模塊的下載，導致已感染的機器對其他機器發(fā)起PE文件攻擊和“無文件”攻擊。

“永恒之藍”木馬下載器黑產(chǎn)團伙時間線：

2018年12月14日，利用“驅(qū)動人生”系列軟件升級通道下載，利用“永恒之藍”漏洞攻擊傳播；

2018年12月19日，下載之后的木馬新增Powershell后門安裝；

2019年1月09日，檢測到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載；

2019年1月24日，木馬將挖礦組件、升級后門組件分別安裝為計劃任務，并同時安裝Powershell后門；  

2019年1月25日，木馬在1月24日的基礎上再次更新，將攻擊組件安裝為計劃任務，在攻擊時新增利用mimikatz搜集登錄密碼，SMB弱口令爆破攻擊，同時安裝Powershell計劃任務和hta計劃任務；

2019年2月10日，將攻擊模塊打包方式改為Pyinstaller.；

2019年2月20日，更新礦機組件，下載釋放XMRig礦機，以獨立進程啟動挖礦；

2019年2月23日，攻擊方法再次更新，新增MsSQL爆破攻擊；

2019年2月25日，在2月23日基礎上繼續(xù)更新，更新MsSQL爆破攻擊時密碼字典，添加樣本文件簽名。至此攻擊方法集成永恒之藍漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊，同時使用黑客工具mimiktaz、psexec進行輔助攻擊；

2019年3月6日，通過已感染機器后門更新Powershell腳本橫向傳播模塊ipc；

2019年3月8日，通過已感染機器后門更新PE文件橫向傳播模塊ii.exe。

對此建議用戶：

1. 服務器暫時關(guān)閉不必要的端口（如135、139、445）；

2. 服務器使用高強度密碼，切勿使用弱口令，防止黑客暴力破解； 

3. 使用殺毒軟件攔截可能的病毒攻擊，中毒電腦及時查殺病毒。

參考來源：騰訊御見威脅情報中心

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。