蠕虫病毒bulehero再次利用“永恒之蓝”在企业内网攻击传播

0x1 概况

近日，腾讯御见威胁情报中心感知多起服务器被入侵挖矿事件，分析发现bulehero挖矿木马不光使用弱口令爆破并且利用多个服务器组件漏洞进行攻击。

bulehero蠕虫病毒有以下特点：

1. 病毒下载器进程名为scvsots.exe，与系统正常进程名Svchost.exe相仿；

2. 释放网络扫描工具，在局域网内探测可以攻击传播的IP地址段；

3. 关闭Windows防火墙；

4. 利用“永恒之蓝”漏洞攻击包，及多个服务器组件相关漏洞（Struts2漏洞、Weblogic漏洞）在局域网内攻击传播；

5. 创建开机启动项；

6. 利用弱密码字典，在局域网内进行SQL Server1433端口爆破和IPC$远程连接爆破攻击。

截止目前，从该病毒使用的其中一个钱包地址看，已挖到门罗币42个（折合人民币2.1万元），腾讯御点终端安全管理系统与腾讯电脑管家均可拦截该病毒。

0x2 样本分析

Download.exe:

该样本作为下载器，继续下载scvsots.exe。

Scvsots.exe：

Scvsots.exe会先去下载Cfg.ini文件，Cfg.ini文件中存放着download.exe(下载器)的URL地址，当前版本号，以及矿池和钱包信息。

（下载的Cfg.ini）

获取成功后则释放多个文件，包括矿机和部分漏洞利用。并且创建注册表和任务自启，关闭防火墙。

挖矿分析：

释放矿机taskmgr.exe到 C:\Windows\Temp\Networks 文件夹下，计划启动进行挖矿。

（taskmgr.exe矿机）

漏洞分析：

Scvsots.exe会释放S扫描器到C:\Windows\InfusedAppe\Priess文件夹下，获取本地ip段,并随机生成部分ip段，写入文件夹下的ip.txt。

（ip.txt）

永恒之蓝

“永恒之蓝”自从被黑客组织公开后，被WannaCry等多种恶意病毒使用，虽然大多数用户已经修复了此漏洞，但是还有一部分未修复漏洞的用户面临被攻击的危险。

NSA利用工具包释放在 C:\Windows\InfusedAppe\UnattendGC 和 C:\Windows\InfusedAppe\LocalService 目录下。

（NSA“永恒之蓝”漏洞攻击工具包）

（payload AppCapture_x32.dll）

Struts2漏洞：S2-045(CVE-2017-5638)

Apache Struts是一套用于创建企业级Java Web 应用的开源MVC框架 。 该漏洞是由于当content-type中出现”multipart/form_data”时，会被认为有文件上传，从而调用struts2默认的上传文件组件Jakarta，通过组件漏洞载入OGNL代码并执行，从而达到远程调用的目的。

根据之前Cfg.ini中download.exe的下载地址结合payload进行入侵。

(S2-045 漏洞利用代码)

Weblogic漏洞：CVE-2017-10271

Oracle WebLogic Server是美国甲骨文（Oracle）公司的一款适用于云环境和传统环境的应用服务器组件。

漏洞引发的原因是Weblogic“wls-wsat”组件在反序列化操作时使用了Oracle官方的JDK组件中“XMLDecoder”类进行XML反序列化操作引发了代码执行，远程攻击者利用该漏洞通过发送精心构造好的HTTPXML数据包请求，直接在目标服务器执行Java代码或操作系统命令。

（CVE-2017-10271 漏洞利用代码）

Mssql 1433端口爆破

1433端口SQL Server默认端口，用于供SQL Server对外提供服务。黑客们利用sa弱口令，通过密码字典进行猜解爆破登录。爆破工具释放在C:\Windows\InfusedAppe\Basebrd 文件夹下，通过对sa若密码进行爆破。

（pass.txt文件部分密码）

ipc$远程连接爆破

PSEXEC工具原理是通过ipc$连接，然后释放psexesvc.exe到目标机器。通过服务管理SCManager远程创建psexecsvc服务，并启动服务。客户端连接执行命令，服务端启动相应的程序并执行回显数据。

psExec释放在C:\Windows\InfusedAppe\Corporate 目录下，利用内置密码字典进行IPC$远程爆破。

(psExec admin$远程爆破)

x3关联分析

查询钱包收益（这是病毒正在使用的一个钱包，尚有其它钱包在追踪中）：

受感染地域分布：

x4安全建议

腾讯御见威胁情报中心提醒用户注意以下几点：

1.使用安全的密码策略 ，服务器使用高强度密码，切勿使用弱口令，特别是sa账号密码，防止黑客暴力破解。

2.修改SQL Server服务默认端口，在原始配置基础上更改默认1433端口设置，并且设置访问规则，拒绝1433端口探测。

3.推荐企业用户使用御点终端安全管理系统（下载地址：https://s.tencent.com/product/yd/index.html），个人用户使用腾讯电脑管家，及时修复系统高危漏洞，拦截可能的病毒攻击。

附录（IOCs）:

URL:

http://a47.bulehero.in/

http://a46.bulehero.in/download.exe

http://a88.heroherohero.info:57890/Cfg.ini

http://a88.bulehero.in:57890/Cfg.ini

http://a46.bulehero.in/scvsots.exe

http://a46.bulehero.in/wlanexts.exe

http://a46.bulehero.in/downloader.exe

http://a46.bulehero.in/appveif.exe

MD5:

7ee0baaa13bef260d61af56f5d37bbde

02b7c84597e43dbcd94be58b046c3961

048d757ec1b33c9f08fb5c7b00cd2cba

20425a46458966175f88581b819c35ac

c64f0888ac169ef64efc3494a903445f

9e1b0b43df819cc42a34920183e19f92

622470a4c3bdf52c2f7da006a6327ace