查看: 1165|回复: 0
收起左侧

[技术原创] 永恒之蓝下载器木马再更新

[复制链接]
腾讯电脑管家
发表于 2019-2-20 16:33:38 | 显示全部楼层 |阅读模式

​​腾讯电脑管家监测发现,2018年最初利用驱动人生升级渠道传播的永恒之蓝下载器木马又有新动向,其在攻击方法方面没有较大变化,仍然利用“永恒之蓝”漏洞攻击、SMB爆破结合远程执行工具psexec攻击、利用Powershell版mimikatz获取域密码。但在样本中发现了以下变化:


1、木马生成方式改变

攻击模块(C:\Windows\Temp\svchost.exe)的打包方式由的py2exe生成替换为使用Pyinstaller生成。第一种情况下只需使用winrar解压即可获取python源文件,此次变化后需要通过Pyinstaller的解压模块pyinstxtractor.py在python环境下进行恢复,增加了分析成本。使用pyinstxtractor.py对该文件进行恢复后,释放出了了349个python编译文件。

2、攻击模块新增代码

2019年1月25日更新后的代码目录


2019年2月10日更新后的代码目录


将前后进行对比可以发现,最新的样本解压目录中新增了email包、json包以及_LWPCookieJar.pyc、_MozillaCookieJar.pyc、cookielib.pyc、ftplib.pyc、httplib.pyc、urlib.pyc等多个文件。新增的模块可用于解析邮件、搜集用户Cookie信息、登录FTP服务、发送HTTP请求等操作。



IOCs
bc26fd7a0b7fe005e116f5ff2227ea4d

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-4 01:15 , Processed in 0.143457 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表