在WannaCry 勒索病毒中被使用的ExternalBlue, 现在正被用来分发 Backdoor.Nitol和 Gh0st 远程控制RAT恶意软件。FireEye 的安全研究人员说, 正如 WannaCry 网络犯罪分子所做的那样, 威胁行为者也是利用了相同的 microsoft 服务器消息块 (smb) 协议漏洞 (MS017-010)。

FireEye称ExternalBlue漏洞又被利用

合著者Ali Islam，Christopher Glyer及 Barry Vengerik在星期五发布的 FireEye 报告中写道 。

"我们实验室中设置了易受 smb 攻击的机器，它正在被攻击，攻击者使用 EternalBlue 漏洞，试图获取对机器的 shell 访问"

Backdoor.Nitol及Gh0st RAT木马工作机制

Gh0st RAT是一个木马，针对 windows 平台的攻击已有多年。其中应用了一个***的工具pimarily ， 用来攻击***机构、活动分子和其他政治目标。就在Gh0st 成为新闻的时候, 其远程控制实例被 Shodan的恶意软件猎手捕获 ，该平台用于寻找C&C服务器。

据 FireEye研究员表示，Backdoor.Nitol跟使用ADODB.Stream ActiveX Object 的远程代码执行漏洞的攻击活动相关，该漏洞影响早期版本的 ie 浏览器。在过去, Backdoor.Nitol及 Gh0st也利用了 CVE-2014-6332 漏洞传播，同时涉及到利用powershell 命令进行垃圾邮件传播。

"在 smb 级别使用的初始开发技术 (Backdoor.Nitol and Gh0st) 类似于我们在 WannaCry 事件中所看到的，

但是, 一旦机器被成功感染, 这个特定的攻击将打开一个 shell, 将指令写入一个 vbscript 文件, 然后执行它以在另一台服务器上获取payload, "

研究人员说, 他们已经看到了同样的 EternalBlue 和 vbscript 组合, 被用于在新加坡的 Gh0st RAT传播，以及在南亚区域进行的Backdoor.Nitol传播活动。

Backdoor.Nitol and Gh0st 利用 windows的 分析，一直在追踪 WannaCry 背后的威胁参与者，攻击者将特制的消息发送到 microsoft SMBv1 服务器。

攻击者将指令反射到新的 "1.vbs" 文件中, 以便稍后执行。 这些指令在同步调用中，从另一台服务器获取有效payload "taskmgr.exe"。 此操作将创建一个 activex 对象 adodb.Stream, 它允许读取来自服务器的文件, 并在流中写入二进制数据的结果, "

研究人员说。

最终, " 1.vbs" 通过命令行版本的 windows 脚本主机执行WSH, 删除 vbs 文件。一旦获取并保存了可执行文件, 攻击者就会使用 shell 从保存的位置启动后门, "

接下来, 下载Nitol 或Gh0st RAT 二进制文件。

"将 EternalBlue 利用添加到 metasploit, 使威胁参与者能够很容易地利用这些漏洞。在接下来的几周和几个月里, 我们可能看到更多的攻击者利用这些漏洞, 并将这种感染传播到不同的有效payload上。

Metasploit 是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。

原文发布时间：2017年6月5日

本文由：threatpost发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/wannacry-externalblue-backdoor-nitol-gh0st-rat

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站