“驱动人生”下载器木马再次更新

时间:2019-10-06 12:00:01 来源:99养生网 当前位置:鱼趣外围足球365网址_外围网站 365_玩365外围有什么枝 > 读书 > 手机阅读


近日,发现“驱动人生”下载器木马再次更新,它会在已感染的主机上,通过后门下载更新文件,植入最新版本的木马。其传播方式增加了通过RDP弱口令传播,并通过mimikatz窃取内存管理员密码在局域网内横向传播,该木马通过hxxp://d.haqo.net下发挖矿木马xmrig-32.mlz或xmrig-64.mlz。


01

病毒详情分析

hxxp://d.haqo.net一直作为挖矿木马的下载地址存在。在此之前,下载器木马一直通过hxxp://dl.haqo.net下发“永恒之蓝“传播模块。显而易见,攻击者手里已经控制了大量肉鸡,认为下发挖矿木马牟利的时机已经成熟。

02

恶意行为

  • 创建计划任务Ddrivers和启动项Ddriver来启动挖矿模块,与伪装的taskmgr.exe共享进程内存执行挖矿代码。

  • 创建计划任务WebServers和启动项WebServers来安装用于下载木马的后门模块。

  • 同时释放永恒之蓝攻击模块进行扩散攻击,通过mimikatz窃取内存管理员密码。

03

防范

  • 利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);

  • 打开系统自动更新,并检测更新进行安装;

  • 系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序,详细信息请参考链接:https://technet.microsoft.com/library/security/MS17-010

  • XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/

  • 电脑设置高强度复杂密码,切勿使用弱口令,防止黑客暴力破解。


关注我们

精彩不停


相关文章:

读书本月排行

读书精选