2017年5月18日, 360威脅情報中心關注到一個疑似通過利用NSA網路攻擊武器庫工具進行分發的惡意程式碼的樣本, 對其進行了分析。
樣本概述2017年4月NSA數位武器庫中SMB服務相關的漏洞利用工具被公開, 利用這些工具可以攻擊控制很大一部分Windows系統。 在攻擊系統得手以後, 工具會在系統植入名為DOUBLEPULSAR的後門, 我們所獲取的樣本就是後門可以載入來執行具體惡意功能的DLL模組。
360威脅情報中心獲取的樣本屬性如下:
文件HASHa933a1a402775cfa94b6bee0963f4b46檔大小216840位元組檔案類型Windows DLL模組樣本功能此模組包含了很強的反虛機反調試機制, 分析得到樣本包含如下這些主要功能:
1.竊取IE、火狐流覽器緩存的帳號密碼資訊
2.竊取FTP伺服器的帳號密碼資訊
3.竊取郵箱帳號資訊
4.竊取RDP服務相關帳號資訊
5.加密系統上的檔進行勒索, 加密後的檔案名尾碼為 UIWIX
與WannaCry勒索蠕蟲的關係該樣本與2017年5月12日開始爆發的蠕蟲WannaCry沒有關係, 樣本本身是一個供載入執行的模組DLL, 不具備自主傳播的功能, 一般與NSA SMB漏洞利用工具配合使用。 當然, 樣本也有可能是某個蠕蟲框架的組成部分, 但到目前為止360威脅情報中心還未發現調用其的母體。
應對措施目前未發現此惡意程式碼在國內廣泛流行的跡象, 但還是非常有必要做好防範準備:
1.掃描檢查網路中的電腦是否存在MS17-010相關漏洞, 可以使用OpenVAS類的遠端漏洞掃描工具,
https://github.com/countercept/doublepulsar-detection-script
IOC樣本只是通過網路傳輸並在記憶體中載入執行, 檔並不會寫入磁片, 所以基於檔的查殺無效。
mutexhfdXrXzQBcKLlsrZC&Chxxp://mrfxohuptyfbzkz7.onion/gt34987.php贖金交付連結hxxp://mrfxohuptyfbzkz7.onion贖金交付連結hxxp://4ujngbdqqm6t2c53.onion文件HASHa933a1a402775cfa94b6bee0963f4b46