-
-
[原创]从FTP爆破开始的MOZI僵尸网络windows版
-
发表于: 2022-4-2 14:27
-
做蓝队的兄弟应该都对MOZI僵尸网络有所了解,经常能碰到这个僵尸网络的各种爆破。然而能搜索到的信息无一不是LINUX版本的MOZI。正好碰到了一个奇葩的windows版本的MOZI,在此记录一下给各位需要溯源的兄弟提供点信息。(这玩意有点久了一直懒得发)
又是搬砖的一天,一大早客户就来了个消息,说机器被打了,让看看。各种分析日志过程就不说了,最后在FTP日志里面发现了问题,上图:
成功弱口令的攻击与是在下图所示,还直接传了个奇怪的东西:
传的东西名称不太一样但实际是一个样本,这里就以Video.scr为例。
先上样本信息:
先上DIE,看着像C语言写的,没带壳:
打开IDA一看字符串,发现其实是个python打包的东西:
找个python解包器一拖(python脱源码工具很多,比如uncompyle2、unpy2exe、PyInstaller Extractor,在github上都能找得到),得到以下文件:
看名字就知道这个ftpcrack就是我们要找的东西。先上反编译。
反编译后找到python入口点"if name == 'main'",我们能看到这玩意首先将自己注册为服务:
main函数在服务中调用,main上来就是经典的xmrig.exe与config.json的挖矿组合:
json文件就是挖矿的配置文件,钱包地址等信息就存放在这个文件中。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2022-4-2 15:04
被团圆饭怎么吃编辑
,原因: 补一个提取好的MOZI
