電腦中毒了怎么辦?2023殺毒軟件推薦360安全衛士
如今,網絡上的木馬病毒層出不窮,為此安全軟件也越來越多,殺毒軟件哪個好?免費殺毒軟件推薦選擇360安全衛士,該款殺毒軟件采用全新引擎技術,可提供精準查殺木馬病毒,惡意程序樣本庫總樣本量超200億,達到全球領先水平,實力相當硬核。
近期,360安全大腦捕獲到SnakeMiner挖礦木馬的最新版本,此版本新增PrintSpoofer提權工具,通過漏洞成功提權后會在用戶電腦上植入挖礦木馬以及大灰狼遠控木馬。
SnakeMiner挖礦木馬最早在2019年被國內安全廠商披露,其主要針對SQL服務器進行弱口令爆破,爆破成功后在通過漏洞獲取SYSTEM權限,隨后植入木馬。此次我們捕獲到SnakeMiner最新版本,經分析其新增以下幾點功能:
1. 利用ReflectivePEInjection進行漏洞利用工具注入2. 更新漏洞利用,此次Potato系列漏洞—PrintSpoofer3. 通過訂閱WMI事件來持久化駐留遠控木馬
技術分析
Win10.ps1
1) 采用Power Sploit模塊中的Invoke-ReflectivePEInjection在內存中加載ms20.exe
2) 請求C&C下載HttpA.exe至本地Temp目錄下。
ms20.exe — PrintSpoofer提權漏洞
該漏洞的核心原理是利用Spooler服務,使其通過SYSTEM身份連接命名管道,并發起身份認證協議(NTML),隨后通過NTML Rely獲取SystemToken。
最后具有SeImpersonatePrivilege權限的攻擊者調用CreateProcessAsUser(SystemToken)以System權限啟動Powershell.exe與HttpA.exe。
通過PowerShell通過修改MpPreference 關閉Windows Defender的實時保護,并將C:/Windows目錄添加至信任區。
通過HttpA.exe釋放挖礦木馬以及大灰狼遠控木馬。
HttpA.exe
HttpA作為母體首先確保當前進程擁有System權限,才會后續釋放流程。驗證成功后,主要會進行以下幾項操作:
WMI事件訂閱釋放遠控。
釋放Win_Help.dll并通過Netsh.exe調用。
木馬放置到注冊表項中。
為部分系統進程(Windows輔助程序)提權。
WMI事件訂閱釋放遠控
WMI的命令是以加密的形式存儲在母體木馬文件中,木馬執行時將其解密在創建WMI進程去執行命令。
要執行的WMI事件如下:
通過WMI事件訂閱定時執行powershell腳本,該腳本base64經解碼后內容如下:
Pow.ps1經分析,得知其通過Invoke-ReflectivePEInjection將遠控木馬加載到內存中去。
釋放Win_Help.dll并通過Netsh.exe調用
Win_Help.dll被釋放到System32路徑下,并將其文件路徑存儲到注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh中。
通過C:\Windows\system32\netsh.exe -h命令,可將Win_Help.dll加載到netsh的進程空間中。
木馬放置到注冊表項
母體在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC添加鍵值RUNDLL,RUN_DLL,并將其木馬的PE Bytes存入。
RUN_DLL—大灰狼遠控木馬
RUNDLL—門羅幣挖礦木馬的母體
部分系統進程提權
給Windows輔助程序的五個進程添加權限
主要提升如下權限:SeRestorePrivilege,SeBackupPrivilege,SeSecurityPrivilege,SeTakeOwnershipPrivilege。
添加成功后,將文件的訪問控制權限修改為EveryOne,目的是實現沾滯鍵實現持久化,后續木馬可能通過這些進程駐留后門。
Win_Help.dll
Win_Help的作用就是注入木馬,通過傀儡進程注入將木馬分別注入到兩個Svchost進程中。
Rpces.exe
Rpces.exe存于RUNDLL注冊表項中,負責投遞挖礦木馬。
通過檢查互斥體”Global\Google__”避免重復投遞木馬。
創建服務“NetSh_Fix”,負責持久化駐留。
最后請求C&C下載挖礦木馬及其錢包配置信息文件。
其文件路徑及錢包信息如下
遠控木馬
校驗尾部字符串:SSSSSSVID:2013-SV1 (特征)
獲取硬件信息
遠控模塊將被釋放到C:\Windows\MpMgSvc.dll,調用其導出函數并通過連接C2,根據不同的指令執行對應的操作包括檢索服務信息,設置服務,獲取會話,用戶信息,關閉指定進程,斷開注銷會話等操作。
C&C通信地址:ssh.330com.com
溯源
在分析樣本過程中,發現其母體樣本中包含“blackmoon”的字符串。因此筆者猜測此挖礦木馬也可能出自blackmoon僵尸網絡家族。
建議查殺
1.若數據庫必須放在公網上,應做好防火墻訪問策略以及身份認證 策略,以防止攻擊者惡意爆破數據庫密碼2.及時更新系統補丁,阻斷N day漏洞利用 3.免費部署360企業安全云,主動管理數據庫弱口令和攔截弱口令爆破
IOC
01
MD5
dcdcc0aad518d1a5b2e9a4632a0f3b19ae23397869f2fa06b2a1d638c9d4cdbaf65d165845d62ff3d6252ef8a16905d9328efb187a040b360a9746a0d98dc415fee800721bd4e33e8d62750fd05494ffd51cd5b721ef945372e9a075ab4090d0f759513be89f9306f4d4cf3e0319ecae
02
URL
http://211.108.74.249:81/32.jpghttp://211.108.74.249:81/64.jpghttp://211.108.74.249:81/Args.txt
03
Domain
down.23ssh.comssh.330com.com
04
IP
211.108.74.249220.86.85.75
殺毒軟件哪個好?360安全衛士能夠2023免費殺毒軟件推薦,可不僅僅只有殺毒能力硬核這一優勢,它還可以對電腦提供實時防護,并能夠精準定位和處理幾十種APT攻擊,綜合能力達到行業領先水平,為此才能得到廣大用戶的高度肯定與認可。
?
來源:IT時代網
IT時代網(關注微信公眾號ITtime2000,定時推送,互動有福利驚喜)所有原創文章版權所有,未經授權,轉載必究。
創客100創投基金成立于2015年,直通硅谷,專注于TMT領域早期項目投資。LP均來自政府、互聯網IT、傳媒知名企業和個人。創客100創投基金對IT、通信、互聯網、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創客100基金最顯著的特點。
熱門文章
精彩評論
小何華為現在牛的不只是設備商了,,華為的手機現在也是全球銷量不錯,國內也算是老大了,之前用小米,,現在都改華為了。。產品確實不錯。- 小何三星手機在中國還有市場嗎?看看現在滿大街的vivo和oppo ,,華為,,小米線下店,,就是知道三星的市場基本沒有了。。
- 小何滴滴打車現在也沒有之前那么火了,,補貼也少了。。
- 小何今日頭條要把騰訊的地方各頻道給霸占了。。