您好,登錄后才能下訂單哦!
這期內容當中小編將會給大家?guī)碛嘘P如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告,文章內容豐富且以專業(yè)的角度為大家分析和敘述,閱讀完這篇文章希望大家可以有所收獲。
該惡意軟件利用WindowsSMB漏洞傳播,釋放虛擬貨幣礦機挖礦的肉雞集群,并偽裝成系統(tǒng)進程spoolsv.exe,其自身在釋放攻擊載荷之后,還會開啟對局域網(wǎng)絡445端口的瘋狂掃描,一旦發(fā)現(xiàn)局域網(wǎng)內開放的445端口,就會將目標IP地址及端口寫入EternalBlue的配置文件中,然后進行溢出攻擊。感染者將根據(jù)礦池地址和礦機賬號為宿主進行淘金!
1、通過對系統(tǒng)進程檢查發(fā)現(xiàn)spoolsv.exe是一個壓縮文件,使用zip解壓此文件后,發(fā)現(xiàn)了NSA攻擊工具包。同時在解壓之后的文件中也找到了與樣本同名的兩個可執(zhí)行體,以及同名的xml配置文件。
spoolsv.exe并非簡簡單單的釋放攻擊包,其自身在釋放攻擊載荷之后,還會開啟對局域網(wǎng)絡445端口的瘋狂掃描,一旦發(fā)現(xiàn)局域網(wǎng)內開放的445端口,就會將目標IP地址及端口寫入EternalBlue的配置文件中,然后啟動svchost.exe進行第1步溢出攻擊。第1步攻擊的結果會記錄在stage1.txt中,攻擊完成后,母體會檢查攻擊是否成功,若攻擊成功,則繼續(xù)修改DoublePulsar的配置文件,并啟動spoolsv.exe(壓縮包內的DoublePulsar,并非母體)在目標計算機安裝后門,此稱之為第2步攻擊,結果會記錄在stage2.txt中。
被安裝了DoublePulsar后門的計算機中l(wèi)sass.exe進程被注入了一段shellcode,這和外網(wǎng)公布的DoublePulsar的行為一模一樣,但樣本中的這段shellcode利用lsass.exe進程在局域網(wǎng)被感染的其他計算機上下載了另一個神秘的可執(zhí)行文件:
在局域網(wǎng)其他電腦上下載一個母體文件,以便于二次傳播。第三,釋放一個ServicesHost.exe進程并以指定的參數(shù)執(zhí)行這個進程。
繼續(xù)跟蹤這個ServicesHost.exe以及啟動參數(shù),從此程序的啟動參數(shù)中看到了一個國外各種數(shù)字貨幣的礦池,網(wǎng)站提供了各種數(shù)字貨幣的礦池地址,只要在網(wǎng)站注冊賬戶,就可以利用礦機參與挖礦,挖的正式一種不是很常見的數(shù)字貨幣——門羅幣。
該作者利用較新的SMB漏洞使惡意軟件進行傳播、釋放和執(zhí)行挖礦流程,賺取虛擬貨幣。
1.及時更新操作系統(tǒng)補??;
2.加強對445等端口(其他關聯(lián)端口如: 135、137、139)的內部網(wǎng)絡區(qū)域訪問審計,及時發(fā)現(xiàn)非授權行為或潛在的攻擊行為;
3.已中木馬的用戶,可使用殺毒工具進行全盤查殺并保持良好上網(wǎng)習慣,切勿運行陌生程序,安裝安全軟件等。
上述就是小編為大家分享的如何理解虛擬貨幣礦機利用Windows SMB漏洞惡意傳播的分析報告了,如果剛好有類似的疑惑,不妨參照上述分析進行理解。如果想知道更多相關知識,歡迎關注億速云行業(yè)資訊頻道。
免責聲明:本站發(fā)布的內容(圖片、視頻和文字)以原創(chuàng)、轉載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權內容。