永恒之蓝下载器木马升级更新没完没了,新增无文件攻击
原标题:永恒之蓝下载器木马升级更新没完没了,新增无文件攻击
雷锋网消息,3月8日腾讯御见威胁情报中心发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。
此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。
“永恒之蓝”木马下载器黑产团伙时间线:
2018年12月14日,利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播;
2018年12月19日,下载之后的木马新增Powershell后门安装;
2019年1月09日,检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载;
2019年1月24日,木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门;
2019年1月25日,木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务;
2019年2月10日,将攻击模块打包方式改为Pyinstaller.;
2019年2月20日,更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿;
2019年2月23日,攻击方法再次更新,新增MsSQL爆破攻击;
2019年2月25日,在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击;
2019年3月6日,通过已感染机器后门更新Powershell脚本横向传播模块ipc;
2019年3月8日,通过已感染机器后门更新PE文件横向传播模块ii.exe。
对此建议用户:
- 服务器暂时关闭不必要的端口(如135、139、445);
- 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
- 使用杀毒软件拦截可能的病毒攻击,中毒电脑及时查杀病毒。
参考来源:腾讯御见威胁情报中心
相关文章
-
一个都不能少?欧盟发布新法案,苹果、微软、谷歌等将“透明化”
-
头条福利:年终奖换“画饼”
-
一家淘宝灯店的三次精准“预言”:灯博会上极有家成“前沿趋势”代名词
-
深度资讯|不止于版权,“体育+娱乐”或许是体育产业的新方向
-
36氪首发|将机器视觉落地物流及工业领域,「视比特机器人」获新一轮千万元级战略融资
-
最前线|今日头条安卓端开放小程序入口,加速围攻微信
-
阿里巴巴展厅采用先进语音讲解系统
-
苹果自研基带信号就会变好?不,关键还得看它!
-
熟人社交应用《画音》上线!自动字幕,无需后期,视频短信怎么玩?
-
熊猫凉了,但游戏直播终将热下去
-
2018年与2019年中国互联网企业百强榜对比分析
-
海外直播丨“重庆@海外友城”庆虎年迎新春
-
36氪独家|蔚来汽车软件负责人庄莉离职,软件团队分拆汇报线
-
好程序员不写代码
-
部分元素100年内或消失手机触屏材料只够用20年?
-
专访京东商城技术总监桂创华:AI抠图做设计,机器识别山寨货
-
法制日报:图片行业侵权成本低、维权难,版权保护现状不容乐观
-
流血上市的Uber尚无盈利能力,距离成为交通运输业的“亚马逊”还有多远?
-
发挥工业互联网的支撑引领作用
-
拿2年前的“旧货”,到中国“救市”,苹果要甩卖创新了
-
中国平安:用科技渡己再渡人
-
阿里再次进军社交市场!微信的对手来了,你会为它放弃微信么?
-
干货|Github项目推荐:BotSharp:基于.NET的开源聊天机器人平台构建器
-
苹果今年要发布三款iPhone,但在中国市场恐难翻身
-
如何快速成功地发表论文?
-
微信官方人工客服在线咨询
-
中国移动的最大老总boss是谁
-
英语专业退学自学编程,结果36岁当上阿里巴巴合伙人,阿里良将如何批量养成?
-
这些年,Meta关闭的“创新App们”