【极新样本/双击/沙盘党噩梦】取证的愤怒！来自外网的暴力窃密机！！！

显示全部楼层 · 发表于 2020-3-12 20:40:06

Miostartos 发表于 2020-3-12 20:35
你开下ip.cn就知道了

ipip.net的ip库更精确

显示全部楼层 · 发表于 2020-3-12 20:40:20

swizzer 发表于 2020-3-12 20:38
的确是Anyrun上的。

应该在 EXE样本10x_88 里面，好像是7.exe，双击后也是生成同样的目录+文件名，智 ...

所以说要取证看看到底干了什么。。。

显示全部楼层 · 发表于 2020-3-12 20:43:39

lifan88 发表于 2020-3-12 20:40
所以说要取证看看到底干了什么。。。

当时没仔细看行为，感觉就是读盘，还以为是勒索

显示全部楼层 · 发表于 2020-3-12 20:49:46

pal家族发表于 2020-3-12 19:53
何不直接写个脚本病毒，先下载毛子get system info工具再命令行执行扫描，最后上传压缩包到服务器。
连exe ...

太恶心了，再见

显示全部楼层 · 发表于 2020-3-12 20:58:23

lifan88 发表于 2020-3-12 20:49
太恶心了，再见

窃密明明有现成的惹，白利用完全可能，有好多获取系统信息的工具

显示全部楼层 · 发表于 2020-3-12 21:28:45

lifan88 发表于 2020-3-12 20:49
太恶心了，再见

微软真该好好管管自家的脚本解释器和命令行工具了。
uac也该加强下了

显示全部楼层 · 发表于 2020-3-12 21:30:56

pal家族发表于 2020-3-12 21:28
微软真该好好管管自家的脚本解释器和命令行工具了。
uac也该加强下了

UAC bypass! ON!

显示全部楼层 · 发表于 2020-3-12 21:31:56

pal家族发表于 2020-3-12 21:28
微软真该好好管管自家的脚本解释器和命令行工具了。
uac也该加强下了

巨硬好像沉迷于搞内核

cmd那些巨硬应该是想用powershell来代替，ps本身就有安全设置，至于为什么这么多downloader都用ps。。。

uac在vista被喷过，估计就这样了？

显示全部楼层 · 发表于 2020-3-12 21:37:47

BE_HC 发表于 2020-3-12 21:31
巨硬好像沉迷于搞内核

cmd那些巨硬应该是想用powershell来代替，ps本身就有安全设置，至于为什么这么 ...

建议defender自带功能：
拦截自家office软件运行脚本。可以运行macro，但是在进一步拉起ps cmd就要拦截提示了

显示全部楼层 · 发表于 2020-3-12 21:38:50

lifan88 发表于 2020-3-12 21:30
UAC bypass! ON!

是不是可以考虑改用wmi，这样就是fileless攻击了

[病毒样本] 【极新样本/双击/沙盘党噩梦】取证的愤怒！来自外网的暴力窃密机！！！