Wannacry ExternalBlue漏洞又被利用 Backdoor.Nitol和Gh0st远程控制恶意软件正在传播

在WannaCry 勒索病毒中被使用的ExternalBlue, 现在正被用来分发 Backdoor.Nitol和 Gh0st 远程控制RAT恶意软件。FireEye 的安全研究人员说, 正如 WannaCry 网络犯罪分子所做的那样, 威胁行为者也是利用了相同的 microsoft 服务器消息块 (smb) 协议漏洞 (MS017-010)。

FireEye称ExternalBlue漏洞又被利用

合著者Ali Islam，Christopher Glyer及 Barry Vengerik在星期五发布的 FireEye 报告中写道 。

"我们实验室中设置了易受 smb 攻击的机器，它正在被攻击，攻击者使用 EternalBlue 漏洞，试图获取对机器的 shell 访问"

Backdoor.Nitol及Gh0st RAT木马工作机制

Gh0st RAT是一个木马，针对 windows 平台的攻击已有多年。其中应用了一个国家级的工具pimarily ， 用来攻击政府机构、活动分子和其他政治目标。就在Gh0st 成为新闻的时候, 其远程控制实例被 Shodan的恶意软件猎手捕获 ，该平台用于寻找C C服务器。

据 FireEye研究员表示，Backdoor.Nitol跟使用ADODB.Stream ActiveX Object 的远程代码执行漏洞的攻击活动相关，该漏洞影响早期版本的 ie 浏览器。在过去, Backdoor.Nitol及 Gh0st也利用了 CVE-2014-6332 漏洞传播，同时涉及到利用powershell 命令进行垃圾邮件传播。

"在 smb 级别使用的初始开发技术 (Backdoor.Nitol and Gh0st) 类似于我们在 WannaCry 事件中所看到的，

但是, 一旦机器被成功感染, 这个特定的攻击将打开一个 shell, 将指令写入一个 vbscript 文件, 然后执行它以在另一台服务器上获取payload, "

研究人员说, 他们已经看到了同样的 EternalBlue 和 vbscript 组合, 被用于在新加坡的 Gh0st RAT传播，以及在南亚区域进行的Backdoor.Nitol传播活动。

Backdoor.Nitol and Gh0st 利用 windows的 分析，一直在追踪 WannaCry 背后的威胁参与者，攻击者将特制的消息发送到 microsoft SMBv1 服务器。

攻击者将指令反射到新的 "1.vbs" 文件中, 以便稍后执行。 这些指令在同步调用中，从另一台服务器获取有效payload "taskmgr.exe"。 此操作将创建一个 activex 对象 adodb.Stream, 它允许读取来自服务器的文件, 并在流中写入二进制数据的结果, "

研究人员说。

最终, " 1.vbs" 通过命令行版本的 windows 脚本主机执行WSH, 删除 vbs 文件。一旦获取并保存了可执行文件, 攻击者就会使用 shell 从保存的位置启动后门, "

接下来, 下载Nitol 或Gh0st RAT 二进制文件。

"将 EternalBlue 利用添加到 metasploit, 使威胁参与者能够很容易地利用这些漏洞。在接下来的几周和几个月里, 我们可能看到更多的攻击者利用这些漏洞, 并将这种感染传播到不同的有效payload上。

Metasploit 是一款开源的安全漏洞检测工具，可以帮助安全和IT专业人士识别安全性问题，验证漏洞的缓解措施，并管理专家驱动的安全性进行评估，提供真正的安全风险情报。

原文发布时间：2017年6月5日

本文由：threatpost发布，版权归属于原作者

原文链接:http://toutiao.secjia.com/wannacry-externalblue-backdoor-nitol-gh0st-rat

本文来自云栖社区合作伙伴安全加，了解相关信息可以关注安全加网站

Gitlab远程代码执行漏洞(CVE-2021-22205)在野利用,8220挖矿团伙最新变种分析 阿里云安全监测到Gitlab远程代码执行(CVE-2021-22205)在野利用，其团伙不仅利用4层协议服务进行入侵，还集成了使用比较广的Web RCE漏洞。
破解索尼PS4系列：利用网页漏洞实现相关的ROP攻击（一） 本文讲的是破解索尼PS4系列：利用网页漏洞实现相关的ROP攻击（一），目前关于PS4的黑客攻击还非常的少，但这并不能说明PS4 系统非常安全，黑客不会对其发动攻击。本文的目的就是找出PS4的一系列漏洞，最终来获得PS4的内核执行代码。
CVE-2017-7494紧急预警：Samba蠕虫级提权漏洞，攻击代码已在网上扩散 本文讲的是CVE-2017-7494紧急预警：Samba蠕虫级提权漏洞，攻击代码已在网上扩散，昨天晚上，开源软件Samba官方发布安全公告，称刚刚修复了软件内一个已有七年之久的严重漏洞（CVE-2017-7494），可允许攻击者远程控制受影响的Linux和Unix机器。
Elasticsearche僵尸网络：超过4000台服务器遭到两款POS 恶意软件感染 本文讲的是Elasticsearche僵尸网络：超过4000台服务器遭到两款POS 恶意软件感染，Kromtech 安全中心最近对一些可以公开访问的ElasticSearch节点进行研究后发现，在ElasticSearch文件结构中存在一些与其没有任何关系的可疑索引名称。
Petya勒索软件攻击预警更新：赛门铁克进一步解析Petya勒索软件 本文讲的是Petya勒索软件攻击预警更新：赛门铁克进一步解析Petya勒索软件，2017年6月27日，一个名为Petya的勒索软件开始大肆传播，导致许多企业遭受攻击。