感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

申博_安全防护 申博 77次浏览 已收录 0个评论

近日,深佩服平安团队监测到一款名为ZombieBoy的木马悄悄感染了国内外各个行业的用户主机。该木马包含了内网扫描、“永久之蓝”破绽应用、“双脉冲星”后门、挖矿东西等多个歹意模块,是一款集流传、远控、挖矿功能为一体的混合型木马。该木马的构造类似于“MassMine”,因为开释第一个歹意DLL文件时运用了一个名为ZombieBoy的东西,因而被命名为ZombieBoy挖矿木马。

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

ZombieBoy木马最早涌现于2017岁尾,外洋平安网站于2018年跟踪报道了该木马的相干剖析,2018年下旬,平安媒体报道被该木马掌握的主机多达七万台。日前,经深佩服平安云脑数据监测发明,该木马在各个行业中敏捷散布,个中,平安防护较为柔弱的企业成为感染的重灾区,教诲行业、政企单元等均遭到差别水平的感染:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

木马感染地区没有明白的目的,经统计,全国各省以及外洋用户均存在感染征象:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

感染征象

受感染的主机上涌现显著征象为未知IP战略,该战略会将除了22.148.18.88以外衔接445的IP悉数阻挠。 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

可疑IP地点查询为一个美国IP。

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

搜刮最新建立的TXT文件,能发明大批IP.TXT文件,是该木马内网流传模块的日记文件: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

涌现木马目录下歹意文件的计划任务:  

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

ZombieBoy木马详细剖析

木马母体会在windows目录下建立一个5位随机字母的文件夹,将进击所用到的东西以及挖矿等顺序开释到该文件夹,而且会将本身拷贝到windows目录下名为boy的文件,再次拷贝本身到随机文件夹下且也为随即名,该随机文件夹的途径称号以及母体副本随机称号保存在C:\\Windows\\IEM\\tps.exe中,建立tps.exe是为了举行假装:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

进击文件:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

建立ipsec_ply和qianye等IP战略:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

为boy副本建立效劳: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

建立aC.exe挖矿顺序,挖矿地点为:

44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

TCP端口扫描模块在举行IP段的扫描,该扫描器为名为WinEggDrop开辟的开源扫描器,其项目地点以下: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

永久之蓝破绽应用东西Cstrl.exe: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

双星脉冲后门植入东西chrome.exe: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

下载可实行文件123.exe到C:\\Windows\\System32\\sys.exe,并运转: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

sys.exe功能为检测是不是存在C:\Windows\IEM\tps.exe,下载母体文件并实行:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

个中C:\Windows\IEM\tps.exe是配置文件,保存着母体文件建立的随机文件夹途径以及本身副本的随机文件名:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

接下来会接见http://v9.monerov8.com:8800/A.txt猎取URL地点用于下载歹意文件,当前木马的URL已失效:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

从内存加载.NET程序集(execute-assembly)的利用分析

0x00 前言 Cobalt Strike 3.11中,加入了一个名为”execute-assembly”的命令,能够从内存中加载.NET程序集。这个功能不需要向硬盘写入文件,十分隐蔽,而且现有的Powershell利用脚本能够很容易的转换为C#代码,十分方便。 本文将会对”execute-assembly”的原理进行介绍,结合多个开源代码,介绍实现方法,分析利用思路,最后给出防御建议。 0x01 简介 本文将要介绍以下内容: · 基础知识 · 正常的实现方法 · 开源利用代码分析 · 利用思路 · 防御建议 0x02 基础知识 1.CLR 全称Common Language Runtime(公共语言运行库),是一个可由多种编程语言使用的运行环境。 CLR是.NET Framework的主要执行引擎,作用之一是监视程序的运行: · 在CLR监视之下运行的程序属于”托管的”(managed)代码。 · 不在CLR之下、直接在裸机上运行的应用或者组件属于”非托管的”(unmanaged)的代码。 2.Unmanaged API 参

从本身开释出并实行84.exe:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

天生一个随机数,推断是不是大于0x32, 挑选差别的端口举行下载实行母体文件并保存为las.exe:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

同样会下载实行wk.exe为CPUInfo.exe:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

从本身开释剧本文件SB360.bat到windows目录下:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

该剧本内容主如果建立IP战略,屏障135、139、445 . . . 等端口,防备用户机械被其他黑产团队举行进击,剧本内容以下:  

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

84.exe剖析,其导出了一个Update函数: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

该样本中存储了一份DLL文件,经由过程解密DLL文件动态实行,然后挪用84.exe的导出函数猎取参数,能够直接在Update参数处设置断点(或许在LoadLibrary处举行断点,能够dump出被加密的DLL),该DLL经由过程本身的Data导出函数挪用Update函数:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

检测是不是存在该效劳dazsks gmeakjwxo,没有就举行建立该效劳: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

将本身拷贝到C:\windows\system32\seser.exe,并设置为隐蔽属性,建立效劳: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

删除本身:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

解密出C2地点,用于衔接等:

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

Cpuinfo.exe拉起挖矿等历程,制造进击链,其内包含了其他的样本文件: 

感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传

解决方案

更新MS17-010破绽补丁;2.封闭营业上不需要的端口,如135、137、138、139、445等;运用平安产品查杀木马文件及历程。

IOC

URL:

http://ca.monerov9.com:443/123.exe

http://v9.monerov8.com:8800/A.TXT

http://103.246.218.247:443/1

http://103.246.218.189:8800/1

http://103.246.218.189:8800/wk.exe

http://wk.monerov9.com:443/wkgx.exe

DNS:

dns.fq520000.org

monero.monerov9.com:18650

note.monerov9.com:7777

monerov9.ppxxmr.org:5555

钱包地点:

44FaSvDWdKAB2R3n1XUZnjavNWwXEvyixVP8FhmccbNC6TGuCs4R937YWuoewbbSmMEsEJuYzqUwucVHhW73DwXo4ttSdNS

原文地点: https://www.4hou.com/system/19156.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明感染数万装备!小心ZombieBoy挖矿木马“丧尸式”流传
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址