永恒之蓝下载器木马升级更新没完没了,新增无文件攻击
原标题:永恒之蓝下载器木马升级更新没完没了,新增无文件攻击
雷锋网消息,3月8日腾讯御见威胁情报中心发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。
此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。
“永恒之蓝”木马下载器黑产团伙时间线:
2018年12月14日,利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播;
2018年12月19日,下载之后的木马新增Powershell后门安装;
2019年1月09日,检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载;
2019年1月24日,木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门;
2019年1月25日,木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务;
2019年2月10日,将攻击模块打包方式改为Pyinstaller.;
2019年2月20日,更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿;
2019年2月23日,攻击方法再次更新,新增MsSQL爆破攻击;
2019年2月25日,在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击;
2019年3月6日,通过已感染机器后门更新Powershell脚本横向传播模块ipc;
2019年3月8日,通过已感染机器后门更新PE文件横向传播模块ii.exe。
对此建议用户:
- 服务器暂时关闭不必要的端口(如135、139、445);
- 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
- 使用杀毒软件拦截可能的病毒攻击,中毒电脑及时查杀病毒。
参考来源:腾讯御见威胁情报中心
相关文章
-
中移在线安徽分公司总经理陈晓峰:体验和价值5G时代在线服务
-
小家电战场激烈,美的类大牌VS小熊类小众,谁能取胜?
-
头条:有营养的内容依旧是稀缺资源
-
互联网+服装定制平台衣邦人进驻烟台、潍坊足不出户体验量身定制
-
搜索引擎市场竞争激烈,百度为何始终不惧新入局者?
-
美国抵制华为计划出现“裂痕”,5G的“魅力”终究无法抵挡
-
京东方将首次向华为提供on-cell面板
-
早报丨马云马化腾李彦宏获改革先锋称号;联想全球首发骁龙855,价格是亮点
-
Snapseed 超全实用教程!手机修图,装这一个 App 就够了
-
百联和阿里合资的便利店开张;小红书测试新短视频功能;亚马逊用购物弹窗推荐自有品牌|一周消费新闻Vol.27
-
彭博年度亿万富豪身价涨跌榜:雷军排名第二,仅次于贝佐斯
-
8点1氪|知乎直播预计10月上线;苹果官网iPhone11Pro/Max全面缺货;传音回应华为官司称不影响上市
-
Lutube最新版丨Lutube发布页丨支持安卓iOS
-
excel怎么统计年龄段人数,excel统计年龄段人数方法教程
-
天舟三号货运飞船发射升空
-
谷歌AI造芯新突破!6小时设计AI芯片,质量超最先进算法
-
恋爱游戏是越来越“不做人”了
-
微信显示“正在输入”,对方并非在回你消息,而是知道原因后太伤人!
-
电商下半场,如何掘金万亿二手闲置商品市场?
-
DiGiGridDLIProTools系统的音频接口
-
那年我还是少年,中兴通讯还是一线智能手机品牌……
-
千乘资本熊伟:2019年产业互联网不会爆发
-
乌镇速递 | 2018世界互联网大会:互联网变革的前奏
-
热点|上海网信办责令百度整改信息流广告
-
Google花钱续青春
-
热点|拼多多出现BUG黑灰产团队通过漏洞盗取数千万元优惠券
-
观点丨吴颍惠:面对未来教育挑战,教师需提升信息素养能力
-
解读英伟达新财报:营收增长超预期,人工智能与自动驾驶将是新的增长点?
-
联想前CFO马雪征去世,杨元庆发文悼念|钛快讯