欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

警惕“驱动人生”无文件挖矿再次更新

来源:本站整理 作者:佚名 时间:2020-03-06 TAG: 我要投稿

5)  USB和网络驱动器
此功能将恶意Windows*.lnk快捷方式文件和恶意DLL文件写入连接到受感染机器的可移动存储及映射的网络驱动器中。一旦其他机器点击(不需要打开.lnk文件)被感染后的可移动存储或者网络驱动器会触发CVE-2017-8464LNK 远程执行代码漏洞,进而感染病毒。


6)  针对RDP漏洞CVE-2019-0708进行检测和上报
对RDP CVE-2019-0708漏洞进行检测,目前尚无利用代码。

一旦网络中的机器被以上任意一种方式攻陷,将会执行如下PowerShell后门代码并修改防火墙设置,打开65529/TCP端口,其将作为被感染机器标识,避免后续重复攻击这些机器。


 
被攻陷机器最终将被创建如开始所述计划任务,进而进行挖矿并感染其他机器。
解决方案
利用系统防火墙高级设置阻止向445端口进行连接(该操作会影响使用445端口的服务);
尽量关闭不必要的文件共享;
采用高强度的密码,避免使用弱口令密码,并定期更换密码;
打开系统自动更新,并检测更新进行安装;
系统打上MS17-010对应的Microsoft Windows SMB 服务器安全更新 (4013389)补丁程序;
详细信息请参考链接:https://technet.microsoft.com/library/security/MS17-010
XP和部分服务器版WindowsServer2003特别安全补丁,详细信息请参考链接:https://blogs.technet.microsoft.com/msrc/2017/05/12/customer-guidance-for-wannacrypt-attacks/
系统打上CVE-2019-0708 RDP服务远程代码执行漏洞补丁:
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2019-0708
系统打上CVE-2017-8464 LNK 远程执行代码漏洞补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
建议安装如下补丁防止Mimikatz窃取本机密码:
https://support.microsoft.com/zh-cn/help/2871997/microsoft-security-advisory-update-to-improve-credentials-protection-a
然后使用以下工具关闭其他能够窃取凭证的路径:
http://download.microsoft.com/download/E/2/D/E2D7C992-7549-4EEE-857E-7976931BAF25/MicrosoftEasyFix20141.mini.diagcab
SQL Server数据库sa账户设置高强度复杂登录密码且与Windows登录密码不要相同。
IOC
文件SHA-1
文件名称
亚信安全检测
1501457cecebf12acc60c7da8585e0a7ab2e928a
blue3.dll
Trojan.Win32.POWLOAD.CMPNPD
b7b692c1a4138d427fe4fabaeb23f508aab806e8
blue6.dll
Trojan.Win64.SHELMA.SMB1
efa8eb64099989f2699eff82a7ff35dc750c027e
if.bin
Trojan.PS1.POWLOAD.JKK
0a9dda0c221215415314269497bd4801a6a0f8c2
m6.bin
Coinminer.PS1.MALXMR.MPK
c86645f1ee95b0e6ea50eac8be0be3874f81d294
m6.exe
Coinminer.Win64.MALXMR.TIAOODDA
3204ece6d1aec56aaf540c1e1da1225f0bf60e50
m6g.bin
Coinminer.Win64.MALXMR.TIAOODDA.component
f8b2d4fb211b22e40fc7805a96be70d25c4e638c
me3.bin
Coinminer.Win64.MALXMR.TIAOODDA.component
d061f9fb213345a4f4a587e4963dd45912eae95d
x.js
TROJ_FRS.0NA104BD20
9659395cc7c996463b463278ef0f8ca76acbaa55
x.jsp
Trojan.PS1.POWLOAD.JKK
ac154ec82cbabcba945b8226873383302693d3b0
flashplayer.tmp
Trojan.JS.POWLOAD.WEIPR
896c398162d9175e7b6736de39710ed8385c9dc2
Flashplayer.lnk
Trojan.LNK.PCASTLE.A
URL:
t[.]awcna[.]com
    t[.]tr2q[.]com
    t[.]amxny[.]com
    hxxp[:]//167[.]99[.]227[.]91
    IP:
    167[.]99[.]227[.]91
    27[.]102[.]114[.]207
 

上一页  [1] [2] 

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载