首页
社区
课程
招聘
[原创]从FTP爆破开始的MOZI僵尸网络windows版
发表于: 2022-4-2 14:27 14413

[原创]从FTP爆破开始的MOZI僵尸网络windows版

2022-4-2 14:27
14413

做蓝队的兄弟应该都对MOZI僵尸网络有所了解,经常能碰到这个僵尸网络的各种爆破。然而能搜索到的信息无一不是LINUX版本的MOZI。正好碰到了一个奇葩的windows版本的MOZI,在此记录一下给各位需要溯源的兄弟提供点信息。(这玩意有点久了一直懒得发)

又是搬砖的一天,一大早客户就来了个消息,说机器被打了,让看看。各种分析日志过程就不说了,最后在FTP日志里面发现了问题,上图:

成功弱口令的攻击与是在下图所示,还直接传了个奇怪的东西:

传的东西名称不太一样但实际是一个样本,这里就以Video.scr为例。

先上样本信息:

先上DIE,看着像C语言写的,没带壳:

打开IDA一看字符串,发现其实是个python打包的东西:

找个python解包器一拖(python脱源码工具很多,比如uncompyle2、unpy2exe、PyInstaller Extractor,在github上都能找得到),得到以下文件:

看名字就知道这个ftpcrack就是我们要找的东西。先上反编译。
反编译后找到python入口点"if name == 'main'",我们能看到这玩意首先将自己注册为服务:

main函数在服务中调用,main上来就是经典的xmrig.exe与config.json的挖矿组合:

json文件就是挖矿的配置文件,钱包地址等信息就存放在这个文件中。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2022-4-2 15:04 被团圆饭怎么吃编辑 ,原因: 补一个提取好的MOZI
上传的附件:
收藏
免费 4
支持
分享
最新回复 (2)
雪    币: 12339
活跃值: (9376)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
感谢分享,当初分析arm版本的真费事。
2022-4-2 14:43
0
雪    币: 4880
活跃值: (2544)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
感谢分享!
2022-4-3 14:24
0
游客
登录 | 注册 方可回帖
返回
//