永恒之蓝下载器木马升级更新没完没了,新增无文件攻击
雷锋网消息,3月8日腾讯御见威胁情报中心发现曾利用驱动人生公司升级渠道的永恒之蓝下载器木马再次更新。
此次更新仍然在于攻击模块,但是其特点在于,攻击模块不再由此前植入的母体PE文件进行释放,而是转为由感染后机器上安装的Powershell后门进行下载。分析发现,此次新启用的PE攻击模块下载地址同时还负责Powshell脚本攻击模块的下载,导致已感染的机器对其他机器发起PE文件攻击和“无文件”攻击。
“永恒之蓝”木马下载器黑产团伙时间线:
2018年12月14日,利用“驱动人生”系列软件升级通道下载,利用“永恒之蓝”漏洞攻击传播;
2018年12月19日,下载之后的木马新增Powershell后门安装;
2019年1月09日,检测到挖矿组件xmrig-32.mlz/xmrig-64.mlz下载;
2019年1月24日,木马将挖矿组件、升级后门组件分别安装为计划任务,并同时安装Powershell后门;
2019年1月25日,木马在1月24日的基础上再次更新,将攻击组件安装为计划任务,在攻击时新增利用mimikatz搜集登录密码,SMB弱口令爆破攻击,同时安装Powershell计划任务和hta计划任务;
2019年2月10日,将攻击模块打包方式改为Pyinstaller.;
2019年2月20日,更新矿机组件,下载释放XMRig矿机,以独立进程启动挖矿;
2019年2月23日,攻击方法再次更新,新增MsSQL爆破攻击;
2019年2月25日,在2月23日基础上继续更新,更新MsSQL爆破攻击时密码字典,添加样本文件签名。至此攻击方法集成永恒之蓝漏洞攻击、SMB爆破攻击、MsSQL爆破攻击,同时使用黑客工具mimiktaz、psexec进行辅助攻击;
2019年3月6日,通过已感染机器后门更新Powershell脚本横向传播模块ipc;
2019年3月8日,通过已感染机器后门更新PE文件横向传播模块ii.exe。
对此建议用户:
- 服务器暂时关闭不必要的端口(如135、139、445);
- 服务器使用高强度密码,切勿使用弱口令,防止黑客暴力破解;
- 使用杀毒软件拦截可能的病毒攻击,中毒电脑及时查杀病毒。
参考来源:腾讯御见威胁情报中心
相关文章
-
短剧,野蛮生长之后呢?
-
vivoAPEX2019户外实验成功,网友:vivo5G手机稳了!
-
直播带货这件事,天已经悄悄变了
-
8点1氪|苹果新iPhoneSE中国起售价3299元;桥水基金达里奥:全球经济可能因新冠肺炎疫情损失20万亿美元;VIPKID起诉跟谁学窃取商业机密
-
速途网络董事长范锋出席2018第六届商丘青年创业峰会
-
互联网为何让我们越来越不开心?如何让上网更像“回家”?
-
花样频出、霸屏已久小小广告弹窗因何成“顽疾”
-
最前线|传统影视行业陷寒冬,爱优腾从中挖“红利”
-
您有新的祝福~请查收~
-
小米9评测:同价位上最能打的手机丨模范评测
-
疫苗快查、一路护航、智能家居……阿里巴巴揭晓年度十佳公益项目
-
市值蒸发200亿美金,二季度净亏23亿,爱奇艺依旧没有筑起护城河
-
iPhone销量不佳实锤!苹果最新财报公布:中国市场遭重创
-
腾讯的“创业者丛林”
-
首例“微信赎金”病毒,弹二维码索要110元,腾讯火绒发布“真·解密工具”
-
为什么996对中国经济是一个陷阱?
-
三星Galaxy S10将可以做一些iPhone做不到的事情
-
万豪5亿客户信息泄露:系统漏洞存至少4年 用户咋办
-
一个季度营收堪比华为全年,拿什么超越苹果?
-
OPPO在5G领域频频出拳,背后究竟哪来的底气?
-
【早Talk】BT天堂站长获刑3年;巴菲特损失28亿
-
下一代互联网社区,离我们还有多远?
-
腾讯或将控股美国版“贴吧”reddit,海外战头条扳回一城?
-
回望2018:华为云的顺势和错位
-
优享学院:想拥有爆款短视频?教你不为人知的3大重点!
-
定下3亿DAU的目标,快手急了
-
氪星晚报丨刘炽平:投资是腾讯核心战略,已投企业去年16家上市;三星正式宣布停止与SupremeItalia合作;大年初一排片超46万场创历史新高
-
36氪X飞书举办首个行业直播互动峰会纵论高效与增长
-
中创教育|PMP那些事儿