不喜欢写那么多密密麻麻的字,直接贴图。
腾讯御见威胁情报中心监测到“贪吃蛇”挖矿木马团伙针对MS SQL服务器进行暴破攻击,攻击成功后利用多个提权工具进行提权,随后植入门罗币挖矿木马、大灰狼远程控制木马、以及键盘记录程序。本次传播的“大灰狼”远控采用更隐秘的DNS隧道通信技术,可绕过大部分软件防火墙,多次利用大厂商白文件进行攻击。【转】
5)执行挖矿操作
2) 判断是否是管理员用户,如果是管理员用户会执行如3-11的操作
3)创建一个名为clr_optimization的服务,映像路径如下:%windowsdir%\ Framework\mscorsvws.exe
%windowsdir%\ Framework\mscorsvws.exe
4)判断是否存在C:\WINDOWS\Microsoft.NET\Framework\mscorsvws.exe,如果存在,则执行,否则创建文件mscorsvws.exe,并这是只读,隐藏,系统属性
5) 创建C:\WINDOWS\Microsoft.NET\Framework\aspnet_wp.exe,并设置只读,系统,隐藏属性,并执行。此样本是一个白加黑的样本。
6) 创建C:\WINDOWS\Microsoft.NET\Framework\ETComm.dll,这是aspnet_wp.exe的必备组件
7)创建C:\WINDOWS\MpMgSvc.dll文件
8)给如下进程进行提权,主要提升如下权限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege,其中需要提权的进程主要有"
9)利用calc工具拒绝system对C:\Windows\Fonts*.exe进行访问
12)判断程序是在32位系统中还是64位系统,由此解密不同的恶意文件
13) 在当前目录下创建TrustedInsteller.exe,TrustedInsteller.exe是一个挖矿程序,然后执行挖矿:矿池为pool.usa-138.com:80,钱包地址为4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。
4B7yFmYw2qvEtWZDDnZVeY16HHpwTtuYBg6EMn5xdDbM3ggSEnQFDWDHH6cqdEYaPx4iQvAwLNu8NLc21QxDU84GGxZEY7S。
14)通过dump侵入svchost.exe执行傀儡进程操作的文件。首先程序会Kill rundll32.exe这个进程,这步的目的是后续的样本会使用rundll32.exe加载dll文件
1)创建文件C:\WINDOWS\Help\Helpsvc.exe.创建名为WinHelpSvcs的服务,二进制文件为Helpsvc.exe,实现永久化
2)将HelpSvc.exe设置系统隐藏属性
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
petersonhz 为什么叫大灰狼呢[em_27]
网络枭红 服务器 会装这些 360 瑞星 金山啥的?
findreamwang 大佬们随便取的
Editor 您好啊,0x5最后是没内容嘛?
新user 楼主 在贴中提到的样本 和腾讯分析的https://mp.weixin.qq.com/s/pqVYmpIqxEhVBdG_1V3ZPA以及https://www.freebuf.com/column/ ...