電腦中毒了怎么辦？2023殺毒軟件推薦360安全衛(wèi)士

如今，網(wǎng)絡上的木馬病毒層出不窮，為此安全軟件也越來越多，殺毒軟件哪個好？免費殺毒軟件推薦選擇360安全衛(wèi)士，該款殺毒軟件采用全新引擎技術，可提供精準查殺木馬病毒，惡意程序樣本庫總樣本量超200億，達到全球領先水平，實力相當硬核。

近期，360安全大腦捕獲到SnakeMiner挖礦木馬的最新版本，此版本新增PrintSpoofer提權工具，通過漏洞成功提權后會在用戶電腦上植入挖礦木馬以及大灰狼遠控木馬。

SnakeMiner挖礦木馬最早在2019年被國內(nèi)安全廠商披露，其主要針對SQL服務器進行弱口令爆破，爆破成功后在通過漏洞獲取SYSTEM權限，隨后植入木馬。此次我們捕獲到SnakeMiner最新版本，經(jīng)分析其新增以下幾點功能：

1. 利用ReflectivePEInjection進行漏洞利用工具注入2. 更新漏洞利用，此次Potato系列漏洞—PrintSpoofer3. 通過訂閱WMI事件來持久化駐留遠控木馬

技術分析

Win10.ps1

1) 采用Power Sploit模塊中的Invoke-ReflectivePEInjection在內(nèi)存中加載ms20.exe

2) 請求C&C下載HttpA.exe至本地Temp目錄下。

ms20.exe — PrintSpoofer提權漏洞

該漏洞的核心原理是利用Spooler服務，使其通過SYSTEM身份連接命名管道，并發(fā)起身份認證協(xié)議（NTML），隨后通過NTML Rely獲取SystemToken。

最后具有SeImpersonatePrivilege權限的攻擊者調(diào)用CreateProcessAsUser（SystemToken）以System權限啟動Powershell.exe與HttpA.exe。

通過PowerShell通過修改MpPreference 關閉Windows Defender的實時保護，并將C:/Windows目錄添加至信任區(qū)。

通過HttpA.exe釋放挖礦木馬以及大灰狼遠控木馬。

HttpA.exe

HttpA作為母體首先確保當前進程擁有System權限，才會后續(xù)釋放流程。驗證成功后，主要會進行以下幾項操作：

WMI事件訂閱釋放遠控。

釋放Win_Help.dll并通過Netsh.exe調(diào)用。

木馬放置到注冊表項中。

為部分系統(tǒng)進程（Windows輔助程序）提權。

WMI事件訂閱釋放遠控

WMI的命令是以加密的形式存儲在母體木馬文件中，木馬執(zhí)行時將其解密在創(chuàng)建WMI進程去執(zhí)行命令。

要執(zhí)行的WMI事件如下：

通過WMI事件訂閱定時執(zhí)行powershell腳本，該腳本base64經(jīng)解碼后內(nèi)容如下：

Pow.ps1經(jīng)分析，得知其通過Invoke-ReflectivePEInjection將遠控木馬加載到內(nèi)存中去。

釋放Win_Help.dll并通過Netsh.exe調(diào)用

Win_Help.dll被釋放到System32路徑下，并將其文件路徑存儲到注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\NetSh中。

通過C:\Windows\system32\netsh.exe -h命令，可將Win_Help.dll加載到netsh的進程空間中。

木馬放置到注冊表項

母體在注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ODBC添加鍵值RUNDLL,RUN_DLL，并將其木馬的PE Bytes存入。

RUN_DLL—大灰狼遠控木馬

RUNDLL—門羅幣挖礦木馬的母體

部分系統(tǒng)進程提權

給Windows輔助程序的五個進程添加權限

主要提升如下權限：SeRestorePrivilege，SeBackupPrivilege，SeSecurityPrivilege，SeTakeOwnershipPrivilege。

添加成功后，將文件的訪問控制權限修改為EveryOne,目的是實現(xiàn)沾滯鍵實現(xiàn)持久化，后續(xù)木馬可能通過這些進程駐留后門。

Win_Help.dll

Win_Help的作用就是注入木馬，通過傀儡進程注入將木馬分別注入到兩個Svchost進程中。

Rpces.exe

Rpces.exe存于RUNDLL注冊表項中,負責投遞挖礦木馬。

通過檢查互斥體”Global\Google__”避免重復投遞木馬。

創(chuàng)建服務“NetSh_Fix”，負責持久化駐留。

最后請求C&C下載挖礦木馬及其錢包配置信息文件。

其文件路徑及錢包信息如下

遠控木馬

校驗尾部字符串：SSSSSSVID:2013-SV1 （特征）

獲取硬件信息

遠控模塊將被釋放到C:\Windows\MpMgSvc.dll，調(diào)用其導出函數(shù)并通過連接C2,根據(jù)不同的指令執(zhí)行對應的操作包括檢索服務信息，設置服務，獲取會話，用戶信息，關閉指定進程，斷開注銷會話等操作。

C&C通信地址：ssh.330com.com

溯源

在分析樣本過程中，發(fā)現(xiàn)其母體樣本中包含“blackmoon”的字符串。因此筆者猜測此挖礦木馬也可能出自blackmoon僵尸網(wǎng)絡家族。

建議查殺

1.若數(shù)據(jù)庫必須放在公網(wǎng)上，應做好防火墻訪問策略以及身份認證 策略，以防止攻擊者惡意爆破數(shù)據(jù)庫密碼2.及時更新系統(tǒng)補丁，阻斷N day漏洞利用 3.免費部署360企業(yè)安全云，主動管理數(shù)據(jù)庫弱口令和攔截弱口令爆破

IOC

01

MD5

dcdcc0aad518d1a5b2e9a4632a0f3b19ae23397869f2fa06b2a1d638c9d4cdbaf65d165845d62ff3d6252ef8a16905d9328efb187a040b360a9746a0d98dc415fee800721bd4e33e8d62750fd05494ffd51cd5b721ef945372e9a075ab4090d0f759513be89f9306f4d4cf3e0319ecae

02

URL

http://211.108.74.249:81/32.jpghttp://211.108.74.249:81/64.jpghttp://211.108.74.249:81/Args.txt

03

Domain

down.23ssh.comssh.330com.com

04

IP

211.108.74.249220.86.85.75

殺毒軟件哪個好？360安全衛(wèi)士能夠2023免費殺毒軟件推薦，可不僅僅只有殺毒能力硬核這一優(yōu)勢，它還可以對電腦提供實時防護，并能夠精準定位和處理幾十種APT攻擊，綜合能力達到行業(yè)領先水平，為此才能得到廣大用戶的高度肯定與認可。

?

來源：IT時代網(wǎng)

IT時代網(wǎng)(關注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權所有，未經(jīng)授權，轉載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關文章

電腦中毒了怎么辦？2023殺毒軟件推薦360安全衛(wèi)士

360安全衛(wèi)士極速版可以解決磁盤紅了怎么辦的問題

殺毒軟件排行榜第一的360安全衛(wèi)士還能守護青少年的上網(wǎng)安全

周鴻祎：何不忘掉搜索業(yè)務？