圖1 2018年12月14日「驅動人生」更新通道下發的木馬

5天之後，攻擊者在更新橫向傳播模塊的同時，還向受害計算機中植入一個計劃任務後門。該計劃任務通過PowerShell從hxxp://r.minicen.ga/r?p下載惡意代碼執行（具體細節請移步http://www.360.cn/n/10528.html）。

雖然當時域名r.minicen.ga並未解析，但這仍然不影響這個計劃任務後門在該組織未來攻擊中所扮演的重要角色。2019年1月26日，攻擊者更改了計劃任務後門連接的url為hxxp://http://v.beahh.com/v，這個url被沿用至今。

之後的種種跡象表明，攻擊者在受害者機器上植入後門絕對是有意為之。2019年2月20日，該計劃任務後門經過多次測試之後開始穩定地從hxxp://http://v.beahh.com/v下載惡意載荷執行。而下載的惡意載荷就是攻擊者開發的新的挖礦模塊，該挖礦模塊將代替舊的挖礦模塊載入器svhhost.exe。不難看出，第一個攻擊模塊——挖礦模塊已經從「驅動人生」更新通道下發的木馬框架中脫離。

圖2 2019年2月20日挖礦模塊從原有框架脫離

2019年3月5日，360安全大腦監測發現，該攻擊事件的幕後控制者在進行小範圍的測試，測試中的殭屍機不超過100臺。這些機器將通過計劃任務後門從hxxp://http://v.beahh.com/eb下載橫向傳播模塊。該橫向傳播模塊由PowerShell編寫，且代碼經過大量混淆。雖然當時該模塊依然未編寫完成，但攻擊者的測試一直在持續中。

圖3 未編寫完成的橫向傳播模塊

僅一天之後，我們又發現了一例攻擊事件幕後控制者的測試，這次測試範圍較前一日的更小了。在這次測試中，殭屍機通過計劃任務後門從hxxp://http://v.beahh.com/ipc下載橫向傳播模塊到本地址執行。不同於上次測試，這次橫向傳播模塊已經編寫完畢。

該橫向傳播模塊包含Invoke-WC、Invoke-SMBC和eb7三個掃描器，分別通過WMI弱口令爆破、SMB弱口令爆破和「永恆之藍」漏洞攻擊武器攻擊其他計算機。

圖4 Invoke-WC部分代碼

圖5 Invoke-SMBC代碼

圖6 eb7部分代碼

完成橫向滲透之後，木馬將在啟動目錄下寫入後門文件，後門從hxxp://http://v.beahh.com/ipc下載惡意載荷並執行。值得一提的是，攻擊者復用Invoke-ReflectivePEInjection項目代碼，試圖通過反射注入在PowerShell進程中完成所有工作，以實現「無文件」攻擊。

圖7 橫向傳播模塊滲透成功後植入的後門

通過分析該攻擊事件幕後控制者的此次更新不難發現，攻擊者試圖將所有模塊從老的木馬中脫離並獨立運營，這是一次完美的「借殼上市」。一旦攻擊者結束測試並開始大範圍實施更新，安全軟體將更難查殺有「無文件」攻擊模式加持的木馬。

圖8 下階段攻擊模塊可能將完全從老的傳播渠道中脫離

由於新的一輪攻擊尚處於測試階段，360安全大腦提醒用戶做好以下幾點防禦即將到來的攻擊：

1. 及時安裝系統和重要軟體的安全補丁。
2. 如無使用必要，請關閉135埠和445埠；
3. 使用強度較高的系統登錄口令；
4. 檢查計劃任務中是否有異常任務，檢查啟動目錄下是否有木馬文件run.bat、FlashPlayer.lnk、flashplayer.tmp、sign.txt，若有請刪除文件。
5. 使用安全軟體並開啟防護。

IOC

hxxp://http://v.beahh.com/eb

hxxp://172.104.177.202/new.dat

hxxp://http://v.beahh.com/ipc

hxxp://27.102.107.137/new.dat

hxxp://http://p.beahh.com/upgrade.php

推薦閱讀：