国产精品久久久久久久久久久久冷,日韩欧美中文,a国产在线V的不卡视频,久久福利中文字幕一区二区的

數(shù)據(jù)中心安全解決方案NEWS

當前位置: 首頁 > 新聞中心  > 解決方案 > 數(shù)據(jù)中心安全解決方案

【病毒預警】FakeMsdMiner挖礦病毒來襲

來源:www.zbtjad.cn    |   發(fā)布時間:2020年10月13日

病毒預警


據(jù)深圳博安特科技了解,近日,亞信安全截獲新型挖礦病毒FakeMsdMiner,該病毒利用“永恒之藍”、“永恒浪漫”等NSA漏洞進行攻擊傳播。該病毒具有遠控功能,可以獲取系統(tǒng)敏感信息。其通過修改HOST文件方式截獲其他挖礦病毒的成果。由于該病毒的挖礦程序偽裝成微軟系統(tǒng)服務msdtc.exe進行啟動,所以亞信安全將其命名為FakeMsdMiner。

 

FakeMsdMiner挖礦病毒攻擊流程

  

FakeMsdMiner挖礦病毒詳細分析

     

內(nèi)網(wǎng)滲透模塊分析(windowsd.exe程序分析)

  

此程序會在C:WINDOWSFontsMysql目錄釋放多個文件,其中包括BAT腳本處理文件、端口掃描文件、永恒之藍漏洞攻擊文件、payload以及下載程序wget。

    

mysql.bat腳本文件:該腳本主要功能是刪除感染過該病毒的系統(tǒng)中存在的舊服務,安裝并開啟新的服務MicrosoftMysql,并添加計劃任務cmd.bat。

   


cmd.bat腳本文件:該腳本主要功能是端口和IP掃描,通過查詢固定地址尋找出口IP和本機IP,獲取IP地址的前2段,拼接后面2段地址,然后掃描445和450端口,將結果保存在ips.txt中,啟動load.bat腳本進行攻擊。

   

load.bat腳本:該腳本主要功能是運行永恒之藍、永恒浪漫等NSA漏洞攻擊程序,進行內(nèi)網(wǎng)滲透。


挖礦程序模塊(mm.exe文件分析)

  

該模塊同樣會釋放很多文件,其中包括挖礦程序、注入系統(tǒng)的DLL文件以及遠控木馬程序。通過調(diào)用1.bat腳本,依次啟動和運行這些程序。

  

通過修改LoadAppInit_DLLs注冊表項,將DLL文件注入到相應的系統(tǒng)中。

 

將挖礦程序復制到msdtc.exe文件中,偽裝成微軟系統(tǒng)服務文件msdtc,并為其安裝服務啟動門羅幣挖礦,其使用的礦機版本為:XMRig 2.14.1。

   

將防火墻關閉。

   


刪除與本次病毒相關的文件temp2.exe(本模塊文件)和temp3.exe(漏洞攻擊模塊母體文件)。

 

在host文件中追加相關域名指向139.180.214.175,該地址為本次挖礦的礦池IP,挖礦木馬試圖通過將其他礦池映射到自己的礦池對應的ip地址,來劫持其他挖礦程序或木馬的收益。

   

遠程控制木馬模塊(work.exe文件分析)

  

首先從資源截取釋放病毒核心程序,然后添加注冊表,開啟服務。研究人員使用資源工具也同樣可以看到,該資源區(qū)段其實就是一個PE文件。

 

值得注意的是,研究人員在分析時發(fā)現(xiàn)了Gh0st字樣,Gh0st是著名的開源遠程控制程序,推測該遠控模塊很有可能是用Gh0st遠控程序修改而來。


Dump出資源模塊,研究人員分析發(fā)現(xiàn),其主要功能就是接受不同指令執(zhí)行不同的功能。這也是常見的遠控功能。

    

其中包括錄音功能:

  

錄制屏幕功能:

   

在系統(tǒng)中提權,獲取相關進程等信息:

   

獲取機器窗口信息:

  

獲取機器驅(qū)動器信息:

   

獲取機器屏幕信息:

   

獲取日志文件:

   

將收集的信息發(fā)送至遠端:


解決方案
      

 

  • 利用系統(tǒng)防火墻高級設置阻止向445端口進行連接(該操作會影響使用445端口的服務)。

  • 盡量關閉不必要的文件共享;

  • 采用高強度的密碼,避免使用弱口令密碼,并定期更換密碼;

  • 打開系統(tǒng)自動更新,并檢測更新進行安裝。

  • 系統(tǒng)打上MS17-010對應的Microsoft Windows SMB服務器安全更新(4013389)補丁程序。詳細信息請參考鏈接:http://www.catalog.update.microsoft.com/Search.aspx?q=MS17-010

 

亞信安全產(chǎn)品解決方案

  

亞信安全病毒碼版本15.149.60,云病毒碼版本15.149.71,全球碼版本15.149.00已經(jīng)可以檢測,請用戶及時升級病毒碼版本。

 

亞信安全OSCE VP / DS DPI開啟以下規(guī)則攔截該漏洞:

  • 1008224 - Microsoft Windows SMB Remote Code Execution Vulnerabilities (CVE-2017-0144 and CVE- 2017-0146)

  • 1008225 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0145)

  • 1008227 - Microsoft Windows SMB Information Disclosure Vulnerability (CVE-2017-0147)

  • 1008228 - Microsoft Windows SMB Remote Code Execution Vulnerability (CVE-2017-0148)

  • 1008306 - Microsoft Windows SMB Remote Code Execution Vulnerability (MS17-010)

 

亞信安全深度發(fā)現(xiàn)設備TDA檢測規(guī)則如下:

2383:CVE-2017-0144-Remote Code Executeion-SMB(Request)

 

亞信安全Deep Edge已發(fā)布了針對微軟遠程代碼執(zhí)行漏洞CVE-2017-0144的4條IPS規(guī)則:

規(guī)則名稱:微軟MS17 010 SMB遠程代碼執(zhí)行1-4,規(guī)則號:1133635,1133636,1133637,1133638

 

IOCs

 





婷婷六月天中文字幕| 青青草地久久久免费| 品善网黄色网站入口| 精品丰满人妻无套内射| 推亚洲色图综合| 国产精品无圣光一区二区| 最新资源AV| 午夜三级在线观看| 国产精品亚洲专区无码电影| 六月开心五月欧美社区| 亚洲精品三级| 日日射天天操夜夜吊| 閉體97| 亚洲AV永久无码精品国产精| 久久精品国产精品久久| 东京热综合社区| 丁香五月激情五月天| 亚洲一牛影视在线观看| 人成精品| A级特黄毛片乱轮| 无码熟妇人妻AV在线一| 男女戳视频免费| 亚洲无码爆乳人妻| 人妻av鲁丝一区二区三区| 日韩高清无码入口| 亚洲新天堂第一页| 极品少妇被XXX| 国产无码色电影| 久久亚洲国产精品五月天婷 | 一本大道加勒比东京热| 日韩蜜臀久久一级片| 亚州色图狠狠干| 尤物视频在线看| 一区二区日韩视频| 人妻6666| 久久中文字幕无码精品| 你懂的在线观看视频| 澳门人妻久久| 什么网站都能进的浏览器| 草久亚洲| 日本波多结衣电影天堂|