永恒之蓝下载器木马升级更新没完没了,新增无文件攻击

栏目: 编程工具 · 发布时间: 5年前

内容简介:雷锋网此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。“永恒之蓝”木马下载器黑产团伙时间线:

雷锋网 (公众号:雷锋网) 消息,3月8日腾讯御见威胁情报中心发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。

此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。

“永恒之蓝”木马下载器黑产团伙时间线:

2018年12月14日,利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播;
2018年12月19日,下载之后的木马新增Powershell后门安装;
2019年1月09日,检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载;
2019年1月24日,木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门;  
2019年1月25日,木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务;
2019年2月10日,将攻击模块打包方式改为Pyinstaller.;
2019年2月20日,更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿;
2019年2月23日,攻击方法再次更新,新增MsSQL爆破攻击;
2019年2月25日,在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击;
2019年3月6日,通过已感染机器后门更新Powershell脚本横向传播模块ipc;
2019年3月8日,通过已感染机器后门更新PE文件横向传播模块ii.exe。

对此建议用户:

  1. 服务器暂时关闭不必要的端口(如135、139、445);

  2. 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;

  3. 使用杀毒软件拦截可能的病毒攻击,中毒电脑及时查杀病毒。

参考来源:腾讯御见威胁情报中心

雷锋网原创文章,未经授权禁止转载。详情见 转载须知


以上所述就是小编给大家介绍的《永恒之蓝下载器木马升级更新没完没了,新增无文件攻击》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

创业时, 我们在知乎聊什么?

创业时, 我们在知乎聊什么?

知乎 / 中信出版社 / 2014-1 / 42.00元

★前所未有的互联网出版实验,500万知友亲手甄选内容,知乎三年创业问答精华大集结 ★史上最真诚创业书,用互联网思维讲透创业的逻辑 ★在知乎,最强大互联网创业群体真实分享创业路上的荣耀与隐忧 ★从Idea到步入正轨,创业公司如何招人、做技术、卖产品、找融资、建团队、处理法务? 他们在知乎聊创业: 创新工场创始人李开复 天使投资人 徐小平 小米科技创始人 雷军......一起来看看 《创业时, 我们在知乎聊什么?》 这本书的介绍吧!

在线进制转换器
在线进制转换器

各进制数互转换器

Markdown 在线编辑器
Markdown 在线编辑器

Markdown 在线编辑器

RGB HSV 转换
RGB HSV 转换

RGB HSV 互转工具