作者:傾旋
作者博客:https://payloads.online/archivers/2019-02-23/1
360安全大腦監測到通過”驅動人生”供應鏈攻擊傳播的挖礦木馬在1月30日下午4時左右再次更新……
0x00 事件背景
360安全大腦監測到通過”驅動人生”供應鏈攻擊傳播的挖礦木馬在1月30日下午4時左右再次更新。此次更新中,木馬在此前抓取系統帳戶密碼的基礎上增加了抓取密碼hash值的功能,並試圖通過pass the hash攻擊進行橫向滲透,使得該木馬的傳播能力進一步加強,即使是有高強度口令的機器也有可能被攻陷。
pass the hash也稱作哈希傳遞攻擊,攻擊者可以直接通過密碼的哈希值訪問遠程主機或服務,而不用提供明文密碼。攻擊者使用pass the hash技術嘗試在系統登錄密碼非弱口令並且無法抓取登錄密碼的情況下進行橫向攻擊,增加攻擊成功率。
0x01 分析研討
由於木馬是樣本都是不落地的方式,核心技術是通過定時計劃任務執行powershell代碼達到持續控制的目的,因此最先分析powershell代碼,了解它做了哪些動作,指定查殺手段。
PS:樣本代碼過長,遂使用圖片截圖
0x02 分析過程
解密第一層
病毒樣本:
转载请注明:IAMCOOL » 驅動人生供應鏈木馬攻擊2019.1.30變種木馬分析