挖矿
永恒之蓝,永不凋零
JustPlay 2018-09-02 21:10:32 3232人浏览

相信大家都知道NSA泄露的方程式工具吧,其工具之强大可谓是指哪打哪,著名的网络大事件wanacry,永恒之石等用的就是这个工具进行传播,经过了几次大的事件,补丁,漏洞应该都修补好了吧。

不过使用方程式工具进行攻击和传播的事件还是层出不穷,这次要分享的就是利用方程式传播并攻击的挖矿程序。

说一下x86下的情况。此程序(CPUInfo.exe)运行后会在windows目录创建IIS文件夹,并释放一堆的文件,其中就包含方程式工具中的Doublepulsar,Esteemaudit,Esteemaudittouch,Eternalblue,Eternalchampion。同时它还兼顾着挖矿的功能,运行之后CPU使用率就暴增

image.png

这里说一下其他的重要程序

Jvav.exe

用来进行网络扫描,扫描到目标后就是用方程式工具进行攻击

"C:\Users\hello\Desktop\iis\Doublepulsar-1.3.1.exe"--OutConfig 2.txt --TargetIp 192.168.0.101 --TargetPort 445 --DllPayloadx86.dll --DllOrdinal 1 ProcessName explorer.exe --ProcessCommandLine --ProtocolSMB --Architecture x86 --Function Rundll

"C:\Users\hello\Desktop\iis\Eternalblue-2.2.0.exe"--TargetIp 192.168.0.101 --Target WIN72K8R2 --DaveProxyPort=0 --NetworkTimeout60 --TargetPort 445 --VerifyTarget True --VerifyBackdoor True--MaxExploitAttempts 3 --GroomAllocations 12 --OutConfig 1.txt

从命令行可以看出需要使用的攻击载荷是两个动态库,先看一下这两个文件

x86.dll和x64.dll是一个downloader。当我们用ida打开文件的时候,它的pdb文件就已经暴露的它的功能

image.png

其中的代码也相当简单,就是下载并运行

x86.dll

image.png

x64.dll

image.png

这里简单说下下载的这三个文件

445.exe

在windows目录下创建IIS文件夹并释放所需的文件

创建计划任务

image.png

删除系统服务

image.png

结束进程

image.png

网络扫描

image.png

找到目标后就进行攻击

image.png

Dst.exe

进行网络扫描

image.png

创建计划任务

image.png

image.png

image.png

释放攻击所属文件,路径为C:\Program Files\Windowsd

Mask.exe

创建计划任务

image.png

启动攻击,方法和x86一样

都有一些删除系统服务,结束进程,修改文件属性的功能

xysds 2018-10-01 18:53:57 回复
之前拿下一台服务器,老是很卡。
后来看了下,跟文章类似:自动感染,自动挖矿功能:
同网段内某台服务器被黑之后,入侵者就将打包好的挖矿,永恒之蓝自动扫描,感染) 一个exe下载下来,然后后台执行,挖矿、感染就有会生成一个同网段的IP 列表,然后检测漏洞,如有漏洞的服务器,就自动将下载者传过去,执行后,重复上面工作。期间还有一个防止重复感染的判断。


说来也巧,一直想将这个漏洞利用工具打包使用,结果就送上门来了。
匿名用户 2018-09-12 18:16:14 回复
https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247486172&idx=1&sn=63483f87277a20c5e9a41bbf45d15084&chksm=ec9cd3afdbeb5ab9271bd6c3d808f655bc29c233ee4bf06639748095db4d301a9c642a05b2fa&scene=0#rd
微步情报局 2018-09-03 09:53:25 回复
写得很详细啊