您的位置:主页 > 值得信赖bt365官网 >

永恒的蓝色下载木马更新是一个无休止的,无文件的新攻击。

日期:2019-10-07 10:12
来自雷锋网的消息,3月8日腾讯宇健威胁情报中心发现,使用其更新频道的永久蓝色下载木马已经再次更新。
更新仍在攻击模块中,但功能是攻击模块不再从先前嵌入的主PE文件中释放,而是下载到受感染计算机上安装的Powershell后门。
分析显示,新打开的PE攻击模块的下载地址也参与了Powshell脚本攻击模块的下载。这将允许受感染的计算机启动PE文件并对其他计算机进行“文件无”攻击。
永恒黑人生产团队年表Trojan Downloader Black:
2018年12月14日,“Driven Life”软件系列更新了频道下载并利用“永恒蓝”漏洞扩大了攻击范围。
在2018年12月19日,下载后,该木马增加了Powershell后门安装。
在2019年1月9日,检测到采矿组件xmrig-32。
Mlz / xmrig-64
Mlz下载
在2019年1月24日,特洛伊木马安装了采矿组件和改进的后挡板组件作为计划任务,同时安装了Powershell后门。
在2019年1月25日,更新了特洛伊木马程序,以便在1月24日将攻击组件安装为计划任务。在此次攻击中,我们使用新的mimikatz收集登录密码并使用SMB弱密码和计划的Powershell任务安装攻击。
2019年2月10日,攻击模块打包在Pyinstaller中。
2019年2月20日,采矿机的部件更新,XMRig采矿机启动发射,采矿开始于独立的过程。
在2019年2月23日,攻击方法再次更新,并增加了一个新的爆炸性攻击,MsSQL。
更新持续到2019年2月23日,更新了MsSQL Explosive Attacks Dictionary字典并添加了示例文件签名。
此时,在这种攻击方法中,集成了永恒蓝色漏洞攻击,SMB爆破攻击和MsSQL爆破攻击,但与此同时,他们使用黑客工具mimiktaz和psexec来支持攻击。
在2019年3月6日,受感染机器的后门更新了Powershell ipc水平传播模块。
2019年3月8日受感染机器的后门更新了PE文件的横向传播模块ii。
埃克
建议用户:
服务器临时关闭不必要的端口(例如135,139和445)。
服务器使用强密码,不应使用弱密码来防止黑客遭受暴力攻击。
使用防病毒软件拦截可能的病毒攻击并毒害您的计算机以及时清除病毒。
参考资料来源:腾讯宇健威胁情报中心


下一篇:没有了