来自“蓝茶”的问候：“你是不是疯了”，暗藏新的攻击手法

腾讯安全资讯 2020-04-23 12:23:39

881729

导语：腾讯安全威胁情报中心检测到“蓝茶行动”攻击于04月17日进行了更新，此次更新在钓鱼邮件附件中加入了“readme.zip”，解压后是一个恶意的JS文件“readme.js”，同时该js执行过程中还加入了ByPass UAC功能（UAC为Windows自Vista之后引入的安全特性）。

一、背景

腾讯安全威胁情报中心检测到“蓝茶行动”攻击于04月17日进行了更新，此次更新在钓鱼邮件附件中加入了“readme.zip”，解压后是一个恶意的JS文件“readme.js”，同时该js执行过程中还加入了ByPass UAC功能（UAC为Windows自Vista之后引入的安全特性）。

“蓝茶行动”攻击实际上是“永恒之蓝”下载器木马，由于该木马最新的版本在攻击过程中会安装名为“bluetea”的计划任务而被命名。

“永恒之蓝”下载器木马出现于2018年12月，最初利用驱动人生升级通道下载木马感染大量机器，并具备利用“永恒之蓝”漏洞在内网进行快速传播的功能，木马通过在感染机器上植入门罗币挖矿木马获利。

该木马至今处于不断活跃中，自诞生以来已不断更新了一年多，目前该木马已具备多种方法横向扩散的能力：

1.“永恒之蓝”漏洞利用MS17-010。

2. Lnk漏洞利用CVE-2017-846。

3. Office漏洞利用CVE-2017-8570。

3. $IPC爆破。

4. SMB爆破。

5. MS SQL爆破。

6. RDP爆破。

7. 感染可移动盘、网络磁盘。

8. 钓鱼邮件（已使用多种不同诱饵主题：包括使用新冠病毒疫情相关主题）。

附：永恒之蓝木马下载器主要版本更新列表：

二、详细分析

“永恒之蓝”下载器木马的钓鱼邮件攻击传播功能在2020.04.03开始出现，并且攻击时投递的邮件附件为“urgent.doc”，该文档附带Office漏洞CVE-2017-8570，漏洞触发后执行恶意Powershell代码。https://mp.weixin.qq.com/s/YdoACRlHdQDYS6hjSgx1PA

在04.17日检测到的钓鱼邮件中，附件中新增了包含恶意JS代码的压缩包“readme.zip”。邮件主题由之前的新冠肺炎疫情变成了“What the f**k”，邮件内容为：

“are you out of your mind!!!!!what 's wrong with you?”

翻译： “你是不是疯了!!!!!你怎么了？”

附件压缩包解压文件为“readme.js”。

该JS文件开头为“//This File is broken.”，中间被插入大段空白，真正的恶意代码在最尾部。

恶意脚本代码首先利用notepad打开文本，由于显示的局限性，打开的文本框只能看到“//This File is broken.”，病毒以此来迷惑用户，隐藏其恶意行为。

脚本实际上在后台执行Powershell，根据当前系统主版本号判断是否为Win10系统，如果是则直接下载执行：

http[:]//t.awcna.com/mail.jsp?js*%username%*%computername%，如果低于Win10，则通过http[:]//t.awcna.com/7p.php进行ByPass UAC操作，然后再下载执行mail.jsp。

7p.php 中实现了多种Bypass uac方法，此处使用的为通过劫持目标程序: C:\Windows\System32\migwiz\migwiz.exe，使得木马DLL以超级管理员权限执行的方法。

（UAC，为用户帐户控制，是微软在 Windows Vista 以后版本引入的一种安全机制，通过 UAC，应用程序和任务可始终在非管理员帐户的安全上下文中运行，除非管理员特别授予管理员级别的系统访问权限。UAC 可以阻止未经授权的应用程序自动进行安装，并防止无意中更改系统设置。）

Mail.jsp的内容与之前相同，会会修改hosts文件，将随机产生的DGA域名指向病毒使用的服务器地址，然后安装一个随机名计划任务，执行命令为“PS_CMD”；安装一个名为bluetea的计划任务，执行命令为：“bluetea”，并且将随机名计划任务对应的内容设置为下载和执行http[:]//t.awcna.com/x.js，x.js继续下载和执行x.jsp。