疑似“匿影”黑产组织利用“永恒之蓝”漏洞传播Hauhitec新型勒索病毒

背景概述

近期，深信服安全应急响应中心联合终端安全团队捕获了一个新型的勒索病毒样本，根据相关的威胁情报信息，国内已有多家企业有被该组织攻击过的痕迹，主要分布在沿海经济发达区域，该勒索病毒团伙的攻击特点和行为方式与“匿影”黑产组织非常相似，疑似该组织开拓了新的业务版图。

攻击者在内网利用“永恒之蓝”漏洞（MS17-010）以及WMI的方式进行传播，攻击成功后利用Powershell执行恶意程序进行加密勒索；安全人员根据其加密文件后修改的文件后缀将其命名为Hauhitec勒索病毒。

黑产组织“匿影”最早出现在2019年的3月份，早期主要通过“永恒之蓝”漏洞进行入侵传播，并利用终端资源进行挖矿；其在2020年8月份更是升级了Rootkit驻留，入侵终端后大肆组建僵尸网络进行长期挖矿。

而“匿影”组织擅长利用的“永恒之蓝”漏洞在2017年被爆出，该漏洞当时被用于传播WannaCry勒索病毒，在全球范围内爆发，英国、俄罗斯、整个欧洲以及中国国内多个高校校内网、大型企业内网和政府机构专网中招。直至今日，“永恒之蓝”漏洞仍被各类病毒用于入侵传播。

入侵攻击

通过爆破进入内网后，攻击者会利用Ladon工具对内网主机进行MS17-010探测。

该勒索探测完成后会对内网进行永恒之蓝攻击从而拿到其他主机权限，这也是历年来少见的利用“永恒之蓝”漏洞作为横向传播的勒索方式之一。

除了“永恒之蓝”漏洞攻击之外，攻击者还利用多种方式进行内网攻击。另外通过“k8gege”特征判断，攻击者很有可能为国内人员所为，恶意利用了k8gege的工具包对受害者进行攻击。

攻击者通过利用WIMEXEC对内网其他主机发送powershell命令执行，

安全研究人员通过对base64进行解密发现，该命令采用驻留形式存在，每隔20分钟执行一次文件下载并运行。

将文件dump下来发现该样本为10进制的ASCII码。

解密后发现关键部分依然被base64所加密，再次进行解密。

最终确认该动作主要是为了通过C2地址下载nc.jpg。

样本分析

nc.jpg内容依然被base64所加密，利用正确序列对其解密，发现存在MZ头部，根据PE相关特征确认该程序为dll程序。

发现该dll会寻找并创建svchost.exe的进程。

多次拼接拷贝，将内存中的shellcode拷贝到堆空间中。

通过第一段拷贝可以看出该程序主要将一个PE文件内容进行拼接。

最后实现了进程注入，主要将shellcode代码注入到创建的svcshot.exe的进程当中。

重启线程执行shellcode部分。

利用调试器加载创建的svchost.exe进程，并将注入的shellcode进行dump。

Shellcode的主函数情况。

有较多的空函数，主要功能存在于401030当中。

勒索公钥信息。

初始化勒索文本信息。

加密的文件后缀信息：

.doc.docx.xls.xlsx.ppt.pptx.pst.ost.msg.eml.vsd.vsdx.txt.csv.rtf.123.wks.wk1.pdf.dwg.onetoc2.snt.jpeg.jpg.docb.docm.dot.dotm.dotx.xlsm.xlsb.xlw.xlt.xlm.xlc.xltx.xltm.pptm.pot.pps.ppsm.ppsx.ppam.potx.potm.edb.hwp.602.sxi.sti.sldx.sldm.vdi.vmdk.vmx.gpg.aes.ARC.PAQ.bz2.tbk.bak.tar.tgz.gz.7z.rar.zip.backup.iso.vcd.bmp.png.gif.raw.cgm.tif.tiff.nef.psd.ai.svg.djvu.m4u.m3u.mid.wma.flv.3g2.mkv.3gp.mp4.mov.avi.asf.mpeg.vob.mpg.wmv.fla.swf.wav.mp3.sh.class.jar.java.rb.asp.php.jsp.brd.sch.dch.dip.pl.vb.vbs.ps1.bat.cmd.js.asm.h.pas.cpp.c.cs.suo.sln.ldf.mdf.ibd.myi.myd.frm.odb.dbf.db.mdb.accdb.sql.sqlitedb.sqlite3.asc.lay6.lay.mml.sxm.otg.odg.uop.std.sxd.otp.odp.wb2.slk.dif.stc.sxc.ots.ods.3dm.max.3ds.uot.stw.sxw.ott.odt.pem.p12.csr.crt.key.pfx.der....

获取用户名信息，并且拼接jsxccc.txt。