<sup id="k62se"></sup>
<xmp id="k62se"><option id="k62se"></option>
<object id="k62se"><tr id="k62se"></tr></object><rt id="k62se"><wbr id="k62se"></wbr></rt>
<tt id="k62se"></tt>
<bdo id="k62se"><label id="k62se"></label></bdo>
  • <menu id="k62se"><sup id="k62se"></sup></menu>
    安防峰會
    您正在使用IE低版瀏覽器,為了您的雷鋒網賬號安全和更好的產品體驗,強烈建議使用更快更安全的瀏覽器
    網絡安全 正文
    發私信給又田
    發送

    0

    永恒之藍下載器木馬升級更新沒完沒了,新增無文件攻擊

    本文作者:又田 2019-03-09 16:03
    導語:曾利用驅動人生公司升級渠道的永恒之藍下載器木馬再次更新。

    雷鋒網(公眾號:雷鋒網)消息,3月8日騰訊御見威脅情報中心發現曾利用驅動人生公司升級渠道的永恒之藍下載器木馬再次更新。

    此次更新仍然在于攻擊模塊,但是其特點在于,攻擊模塊不再由此前植入的母體PE文件進行釋放,而是轉為由感染后機器上安裝的Powershell后門進行下載。分析發現,此次新啟用的PE攻擊模塊下載地址同時還負責Powshell腳本攻擊模塊的下載,導致已感染的機器對其他機器發起PE文件攻擊和“無文件”攻擊。

    “永恒之藍”木馬下載器黑產團伙時間線:

    2018年12月14日,利用“驅動人生”系列軟件升級通道下載,利用“永恒之藍”漏洞攻擊傳播;

    2018年12月19日,下載之后的木馬新增Powershell后門安裝;

    2019年1月09日,檢測到挖礦組件xmrig-32.mlz/xmrig-64.mlz下載;

    2019年1月24日,木馬將挖礦組件、升級后門組件分別安裝為計劃任務,并同時安裝Powershell后門;  

    2019年1月25日,木馬在1月24日的基礎上再次更新,將攻擊組件安裝為計劃任務,在攻擊時新增利用mimikatz搜集登錄密碼,SMB弱口令爆破攻擊,同時安裝Powershell計劃任務和hta計劃任務;

    2019年2月10日,將攻擊模塊打包方式改為Pyinstaller.;

    2019年2月20日,更新礦機組件,下載釋放XMRig礦機,以獨立進程啟動挖礦;

    2019年2月23日,攻擊方法再次更新,新增MsSQL爆破攻擊;

    2019年2月25日,在2月23日基礎上繼續更新,更新MsSQL爆破攻擊時密碼字典,添加樣本文件簽名。至此攻擊方法集成永恒之藍漏洞攻擊、SMB爆破攻擊、MsSQL爆破攻擊,同時使用黑客工具mimiktaz、psexec進行輔助攻擊;

    2019年3月6日,通過已感染機器后門更新Powershell腳本橫向傳播模塊ipc;

    2019年3月8日,通過已感染機器后門更新PE文件橫向傳播模塊ii.exe。

    對此建議用戶:

    1. 服務器暫時關閉不必要的端口(如135、139、445);

    2. 服務器使用高強度密碼,切勿使用弱口令,防止黑客暴力破解; 

    3. 使用殺毒軟件攔截可能的病毒攻擊,中毒電腦及時查殺病毒。

    參考來源:騰訊御見威脅情報中心

    雷鋒網原創文章,未經授權禁止轉載。詳情見轉載須知

    分享:
    相關文章

    文章點評:

    表情
    最新文章
    請填寫申請人資料
    姓名
    電話
    郵箱
    微信號
    作品鏈接
    個人簡介
    為了您的賬戶安全,請驗證郵箱
    您的郵箱還未驗證,完成可獲20積分喲!
    請驗證您的郵箱
    立即驗證
    完善賬號信息
    您的賬號已經綁定,現在您可以設置密碼以方便用郵箱登錄
    立即設置 以后再說
    江苏11选5投注