本文主要是介绍来自“蓝茶”的问候:“你是不是疯了”,暗藏新的攻击手法,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
一、背景
腾讯安全威胁情报中心检测到“蓝茶行动”攻击于04月17日进行了更新,此次更新在钓鱼邮件附件中加入了“readme.zip”,解压后是一个恶意的JS文件“readme.js”,同时该js执行过程中还加入了ByPass UAC功能(UAC为Windows自Vista之后引入的安全特性)。
“蓝茶行动”攻击实际上是“永恒之蓝”下载器木马,由于该木马最新的版本在攻击过程中会安装名为“bluetea”的计划任务而被命名。
“永恒之蓝”下载器木马出现于2018年12月,最初利用驱动人生升级通道下载木马感染大量机器,并具备利用“永恒之蓝”漏洞在内网进行快速传播的功能,木马通过在感染机器上植入门罗币挖矿木马获利。
该木马至今处于不断活跃中,自诞生以来已不断更新了一年多,目前该木马已具备多种方法横向扩散的能力:
1.“永恒之蓝”漏洞利用MS17-010。
2. Lnk漏洞利用CVE-2017-846。
3. Office漏洞利用CVE-2017-8570。
3. $IPC爆破。
4. SMB爆破。
5. MS SQL爆破。
6. RDP爆破。
7. 感染可移动盘、网络磁盘。
8. 钓鱼邮件(已使用多种不同诱饵主题:包括使用新冠病毒疫情相关主题)。
附:永恒之蓝木马下载器主要版本更新列表:
二、详细分析
“永恒之蓝”下载器木马的钓鱼邮件攻击传播功能在2020.04.03开始出现,并且攻击时投递的邮件附件为“urgent.doc”,该文档附带Office漏洞CVE-2017-8570,漏洞触发后执行恶意Powershell代码。https://mp.weixin.qq.com/s/YdoACRlHdQDYS6hjSgx1PA
在04.17日检测到的钓鱼邮件中,附件中新增了包含恶意JS代码的压缩包“readme.zip”。奇热邮件主题由之前的新冠肺炎疫情变成了“What the f**k”,邮件内容为:
“are you out of your mind!!!!!what 's wrong with you?”
翻译: “你是不是疯了!!!!!你怎么了?”
这篇关于来自“蓝茶”的问候:“你是不是疯了”,暗藏新的攻击手法的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
