freeBuf
主站

分类

云安全 AI安全 开发安全 终端安全 数据安全 Web安全 基础安全 企业安全 关基安全 移动安全 系统安全 其他安全

特色

热点 工具 漏洞 人物志 活动 安全招聘 攻防演练 政策法规
报告 专辑
行业服务
政 府
CNCERT CNNVD
会员体系(甲方) 会员体系(厂商) 产品名录 企业空间
知识大陆

点我创作

试试在FreeBuf发布您的第一篇文章 让安全圈留下您的足迹
我知道了

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

大规模SMB爆破引发的十年之思

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

0

1

2

3

4

5

6

7

8

9

大规模SMB爆破引发的十年之思
深信服千里目安全技术中心 2018-04-21 09:00:57 759648

近日,千里目安全实验室EDR安全团队持续收到大量企业用户反馈,称其内网很多服务器存在大规模SMB爆破现象,但一直查不到问题根因。

我们深入研究发现,这是服务器中了飞客蠕虫之后,横向发起的大规模SMB爆破。由于此变种飞客蠕虫构造精巧,以注入方式驻留系统进程之中,且病毒体文件具备隐藏和对抗属性,非常难以察觉。

有趣的是,飞客蠕虫早在2008年伴随着MS08-067漏洞就出现了,期间出现了多个变异版本。MS08-067漏洞最早在2008年即发布,距今有十年之久,仍然有大量用户感染,非常值得深思!此外,主机在修复漏洞的情况下,通过IPC方式的弱密码SMB爆破,仍然可以感染目标主机!

在此,我们再次提醒用户,安全无小事,即使是十年之久的老漏洞,也要勤打补丁,同时要避免主机弱密码问题,防止被爆破成功!

0x01 攻击场景

此次攻击,场景相对比较复杂,但构造精巧,病毒体仅仅是一个几百KB的dll。这里以mwpxx.dll为例,此文件即飞客蠕虫病毒体。通常,飞客蠕虫病毒体,是以随机名字命令的dll文件。

图片.png

如上图,mwpxx.dll病毒体可以被多个系统进程加载或注入。系统进程一旦加载或注入成功,便自动携带了一整套的飞客蠕虫攻击功能,包括提权、探测目标主机系统版本、MS08-067漏洞攻击、SMB爆破、感染移动设备、下载恶意文件、连接C&C服务器等等。

攻击顺序如下:

1.rundll32.exe或service.exe加载mwpxx.dll,执行飞客蠕虫功能。

2.判断系统进程svchost.exe和explorer.exe是否存在mwpxx.dll,如否则使用APC注入mwpxx.dll。

3.注入成功后,进行提权。

4.内网探测目标主机系统版本,为MS08-067和SMB爆破做准备。

5.执行MS08-067漏洞攻击,如成功则复制病毒体自身到目标主机并运行起来。

6.不管漏洞攻击是否成功,都会对目标主机进行基于IPC的SMB爆破,成功则同样复制病毒体自身到目标主机。

7.遍历系统,尝试发现并感染移动设备。

8.下载恶意文件,连接C&C服务器。

步骤5和6,即漏洞攻击和SMB爆破,只要有一种成功,则成功感染一台内网主机,感染后的主机又重复1到8步骤。

0x02 漏洞攻击

如果Payload是通过service.exe进行加载的,则通过NetpwPathCanonicalize触发,执行MS08-067漏洞攻击。

图片.png

触发漏洞之后,发送相应的恶意代码给包含MS08-067漏洞的主机。

图片.png

如果Payload是通过svchost.exe -k netsvcs加载的,同样执行NetpwPathCanonicalize触发后面要执行的MS08-067漏洞攻击。

图片.png

当Payload是通过svchost.exe -k NetworkService加载的,则Hook DN相关函数操作。

图片.png

防止杀毒软件访问网站进行下载升级,相关的杀毒软件列表如下。

图片.png

0x03 SMB爆破

不管漏洞攻击是否成功,飞客蠕虫都会通过IPC攻击开放SMB端口的主机,并进行爆破。因此,内网极可能存在大规模的SMB爆破现象。

图片.png

爆破的密码字典:

图片.png

0x04 感染移动设备

飞客蠕虫执行后,还会感染移动存储设备,如下图。

图片.png

图片.png

图片.png

复制自身到下面的路径:

“\RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\”,然后通过

rundll32.exe \RECYCLER\S-%d-%d-%d-%d%d%d-%d%d%d-%d%d%d-%d\payload.dll,ekepuf来执行Payload程序,同时将这行命令写入到可移动磁盘的autorun.inf文件中,进行移动磁盘的感染。

0x05 连接C&C服务器

飞客蠕虫通过解析XML来控制相应的网络请求端口,如下图所示:

图片.png

图片.png

发送的数据包格式,如下图所示:

图片.png

判断时间,尝试解析相应的域名地址(baidu.com、google.com、yahoo.com、msn.com、ask.com、w3.org等),判断网络是否连通,如下图所示:

图片.png

然后通过gethostbyname获得主机名,并通过相应的域名产生算法,生成随机域名,然后连接下载并执行相应的程序。

图片.png 图片.png

相应的域名生成算法(DGA): 图片.png

0x05 解决方案

1、隔离感染主机:已中毒计算机尽快隔离,关闭所有网络连接,禁用网卡。

2、切断传播途径:关闭潜在终端的SMB 445等网络共享端口,关闭异常的外联访问。

3、查找攻击源:借助安全感知类产品定位攻击源。

4、查杀病毒:使用专杀http://media.kaspersky.com/utilities/VirusUtilities/EN/kidokiller.zip

5、修补漏洞:打上“MS08-067”漏洞补丁,请到微软官网,下载对应的漏洞补丁(https://docs.microsoft.com/zh-cn/security-updates/Securitybulletins/2008/ms08-067)。

6、修改密码:如果主机账号密码比较弱,建议重置高强度的密码。

*本文作者:千里目安全实验室,转载请注明来自 FreeBuf.COM

# SMB
本文为 深信服千里目安全技术中心 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf 客服小蜜蜂(微信:freebee1024)
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
KrbRelayEx:一款针对Kerberos的网络请求中继与转发工具
KrbRelayEx:一款针对Kerberos的网络请求中继与转发工具

工具

KrbRelayEx是一款功能强大的Kerberos的网络请求中继与转发工具,可以基于Kerberos AP-REQ实现请求中继与转发。

Alpha_h4ck

75265围观  · 2收藏 2025-01-20

如何使用CMLoot发现SCCMCM SMB共享中存储的敏感文件 原创
如何使用CMLoot发现SCCMCM SMB共享中存储的敏感文件

基础安全

CMLoot是一款真的SMB共享的文件爬取工具。

Alpha_h4ck

260547围观  · 4收藏 2023-05-16

HackTheBox入门篇-0.3-DancingWp 原创
HackTheBox入门篇-0.3-DancingWp

咨询

HackTheBox入门篇-Dancing解题思路

d3ngy1

73300围观 2023-03-06

如何使用SMBSessionSpoofer伪造SMB会话
如何使用SMBSessionSpoofer伪造SMB会话

基础安全

SMBSessionSpoofer是一款针对SMB会话的安全工具,可以帮助广大研究人员轻松创建出一个伪造的SMB会话。

Alpha_h4ck

285385围观  · 2收藏 2022-06-23

SMBeagle:一款功能强大的SMB文件共享安全审计工具
SMBeagle:一款功能强大的SMB文件共享安全审计工具

数据安全

该工具可以帮助广大研究人员迅速查看网络中所有的可视文件,并判断目标文件是否可读或可写入。

Alpha_h4ck

246169围观  · 3收藏  · 17喜欢 2022-01-05

深信服千里目安全技术中心 LV.9
这家伙太懒了,还未填写个人描述!
  • 417 文章数
  • 611 关注者
【漏洞通告】Ivanti多产品缓冲区溢出漏洞(CVE-2025-22457)
2025-04-11
【漏洞通告】Vite 任意文件读取漏洞(CVE-2025-31486)
2025-04-09
【漏洞通告】微软补丁日安全通告|4月份
2025-04-09
文章目录
0x01 攻击场景
    0x02 漏洞攻击
      0x03 SMB爆破
        0x04 感染移动设备
          0x05 连接C&C服务器
            0x05 解决方案