微软再次曝光高危漏洞威胁堪比永恒蓝 腾讯发布高效修复工具
腾讯平安御视威胁情报中心捕获远程木马家族NetWiredRC,4月24日左右,腾讯安图高级威胁追溯系统自动将家族聚类为T-F-240477。该家族通过发送钓鱼邮件诱导用户打开恶意宏代码word图案附件流传,最后在网上下载远控木马窃取电脑秘密信息。一、概述
腾讯平安御视威胁情报中心捕获远程木马家族NetWiredRC,该家族在4月24号左右刚刚泛起,腾讯安图高级威胁追溯系统自动将该家族聚类为T-F-240477。该家族通过发送钓鱼邮件诱导用户打开恶意宏代码word图案附件打开后,计算机将下载并安装远程控制木马,木马将窃取中毒计算机的秘密信息并上传到控制器服务器。
腾讯电脑管家、腾讯御点终端平安治理系统均可查杀阻挡病毒。
二、病毒攻击模
NetWiredRC远控木马家族通过电子邮件传播,诱导用户打开恶意宏word附件,宏代码会从jamrockiriejerk.ca地址下载远程控制木马主体,监控用户计算机,窃取移动窗口信息和键盘记录,窃取用户登录凭证、桌面截图等,上传收集到的招聘用户秘密信息ml.warzonedns.com:4772,病毒还将接受远程服务器指令,执行更多恶意行为。
3.详细分析
1、执行恶意宏代码后,解密木马下载地址和下载后保留的目录,然后挪用URLDownloadToFile下载远程木马并保留至%Temp%下载目录,最后启动执行木马。
木马下载地址:hxxp://jamrockiriejerk.ca/xps.exe
保留路径:%Temp%\r2pkwgzhb.exe
2. 远程控制木马运行后,生成单独的线程,不断获取用户正在使用的窗口标题和用户对应的按钮。窃取的用户凭证加密并写入日志文件:C:\Documents and Settings\Administrator\Application Data\Logs\12-05-2019,解密日志文件如下图所示:
解密前、解密后对比 日志文件
获取计算机名称、磁盘、操作系统等信息,上传到服务器上ml.warzonedns.com,等待服务器指令控制用户电脑或其他恶意行为。
C2通信数据包
吸收C2指令的switch分支
Windows腾讯安全为远程桌面服务漏洞提供全面的扫描和修复方案
4.安全建议
1. 不要打开未知来源的电子邮件附件。除非文件来源清晰可靠,否则不要使用Office宏代码;
2、 不运行来历不明的程序;
3. 使用腾讯电脑管家(企业用户可使用腾讯御点终端安全管理系统)阻止病毒木马攻击。
IOCs
MD5
e98a28017ffbf234cfd3370c1019624b
445b08b94803006bc248b109ccd632c5
3914428e56abb0cc307e86412a87041d
54d9e8c4cc81a38cceb975574d160359
0aeb60efebb96d72ee65a886e07a369a
25b22df943c1c597920a4c2e2b7219df
02080d799c59998201ed8e124fde732e
583da27010e748ed5bc60ce792dff082
3229e422b6f8c2b922806fe2db7f4c63
84192b4422649a144914385ecbb2d135
ad7a5c23c43d09c521722ea759441d06
IP
185.244.31.215
194.5.98.183
185.247.228.67
185.244.31.215
107.180.50.237
DOMAIN
ml.warzonedns.com
jamrockiriejerk.ca
Windows 10特权提升0day漏洞预警