再次进入神网

显示全部楼层 · 发表于 2016-4-26 12:04:57

xyz0703 发表于 2016-4-26 11:57
Avira
[mw_shl_code=css,true]
类型：文件

惭愧！用MD没有监控到可执行文件的生成...

显示全部楼层 · 发表于 2016-4-26 12:06:27

恭喜成功触发神网

，貌似经典的Teslacrypt变体
要授权的好象是WMIC吧，删除卷影备份让受害者无法还原文档
http://bbs.kafan.cn/thread-2038809-1-1.html 这个是管理员身份登陆的吗？

显示全部楼层 · 发表于 2016-4-26 12:14:00

qftest 发表于 2016-4-26 12:06
恭喜成功触发神网，貌似经典的Teslacrypt变体
要授权的好象是WMIC吧，删除卷影备份让受害者无法还原 ...

要授权的事WMI ！

两次进神网都不是管理员身份！基本用户进神网。
首次进神网，发现异常...忙于删除组策略而MD默认阻止某些行为！好可惜---
第二次进神网时，先删除组策略后再进神网！

两次进入结果截然不同。

显示全部楼层 · 发表于 2016-4-26 12:16:17

liulangzhecgr 发表于 2016-4-26 12:14
要授权的事WMI ！

两次进神网都不是管理员身份！基本用户进神网。

WMIC就是WMI的命令行工具。。。谢谢回复
了解了，貌似还没够全面，但已能说明问题

显示全部楼层 · 发表于 2016-4-26 12:20:10

@liulangzhecgr @345 请将网址url标签去掉，将http改为hxxp，以防其他人误点击进入，可参考毒网区要求

发布新帖网址标签规范

可选项为可选择性地标注。
可疑类型：挂马、列表（下载者列表）、恶意脚本、钓鱼、虚假（Fake AV）、被黑。（）内为说明。
①http统一改为hxxp ②禁用链接识别 ③加入code标签，以上三种方法请任选一种，以避免误点。

显示全部楼层 · 发表于 2016-4-26 12:23:08

IE调到最低安全，管理员登录，

看来我不是他的菜

显示全部楼层 · 发表于 2016-4-26 12:26:25

绯色鎏金发表于 2016-4-26 12:20
@liulangzhecgr @345 请将网址url标签去掉，将http改为hxxp，以防其他人误点击进入，可参考毒网区要求

...

抱歉！一改。

显示全部楼层 · 发表于 2016-4-26 12:29:00

这一看就是又一个利用IE漏洞案例，代码利用TS WebProxy Windows 元件中存在的权限。

显示全部楼层 · 发表于 2016-4-26 12:33:58

BBCALL 发表于 2016-4-26 12:29
这一看就是又一个利用IE漏洞案例，代码利用TS WebProxy Windows 元件中存在的权限。

基本用户权限运行IE,被过！将要测试能否过组策略这一个关。

显示全部楼层 · 发表于 2016-4-26 12:38:02

火绒miss

[其它] 再次进入神网