永恒之蓝下载器使用DGA域名进行攻击，多个漏洞攻击内网挖矿

一、背景
近期腾讯安全御见威胁情报中心检测到“永恒之蓝下载器木马”使用DGA（随机生成）域名进行攻击。黑客入侵系统后，通过安装计划任务修改hosts文件，将生成的DGA（随机生成）域名映射到其控制的服务器IP地址，随后利用该域名进行恶意代码下载和执行。病毒的这一行为将会对仅根据恶意域名进行检测的网络防御系统造成新的威胁。
二、篡改HOSTS指向随机域名
域名生成算法为-join([char[]](Get-Random -Count (6 (Get-Random)%6)(65..90 97..122)))， ASCII编码65到90是大写字符A到Z，97到122是小写字母a到z。Count为取的字符个数，Conut值由6 （0~5）（随机数除以6取余），也就是取6~11个随机大小写字母组合 .com作为DGA（随机生成）域名。

生成的DGA域名示例如下：

然后依次查询病毒此前注册的域名t.awcna.com，t.tr2q.com，t.amxny.com所解析到的IP地址，并通过修改本地hosts文件将生成的DGA域名映射到这些IP地址，并将该行为安装为计划任务Rtsa1。木马访问DGA域名时通过访问本地hosts文件获取IP地址，无需进行DNS解析，也就是说攻击者不需要进行域名注册。