【资源之家】每日免费更新最热门的副业项目资源

近日,来自网络安全公司Check Point的安全研究人员监测到了一起针对亚太地区国家Windows服务器的大规模黑客活动。在这起攻击活动中,攻击者使用了一种被命名为“Mimikatz”的信息窃取类计算机病毒,旨在窃取敏感数据。

如上所述,Mimikatz所针对的感染目标是Windows服务器,旨在窃取包括登录凭证、操作系统版本和IP地址在内的敏感数据。根据Check Point研究人员的说法,这些被盗数据最终将被上传到一个由攻击者控制的FTP服务器。

此外,从Check Point研究人员的初步分析结果来看,该计算机病毒还与XMRig挖矿软件以及Mirai僵尸网络存在关联。

Mimikatz病毒感染过程

研究人员指出,整个感染过程从下载一个名为“ups.rar”(或u.exe、cab.exe和ps.exe)的文件开始(文件的托管服务器为66[.]117[.]6[.]174 )。该文件在被下载并保存到受感染计算机上之后便会被执行,进而向223[.]25[.]247[.]240/ok/ups.html(C2服务器)发送GET请求。

感染过程

需要指出的是,只有当受感染计算机是Windows服务器时,感染过程才会继续。研究人员表示,对于操作系统版本的检查是通过调用GetVersionExA来完成的。更确切地说,Mimikatz将无法在以下操作系统版本上运行:

l Windows 10;

l Windows 8;

l Windows 7;

l Windows Vista;

l Windows XP专业版;

l Windows XP家庭版;

l Windows 2000专业版。

检查操作系统版本,以确定感染是否继续

用于检查操作系统版本的函数

发送两个GET请求

在确定目标计算机运行的是Windows Server操作系统之后,在上一阶段下载的文件(即ups.rar,或u.exe、cab.exe和ps.exe)会发送两个GET请求——一个用于部署批处理文件(my1.bat)并触发无文件攻击;另一个用于与C2服务器同步以获取更新版本。

用于下载恶意批处理文件(my1.bat)的GET请求

研究人员表示,my1.bat明显包含了一个属于Mirai僵尸网络的模块,并且攻击者还加强了该模块的功能,以便实施新的攻击。此外,目前大多数杀毒软件都无法将其检测出来。

与旧版Mirai的相似性

目前很少有杀毒软件能将my1.bat检测出来

Mirai模块的功能

此新模块被用于运行连接到外部URL的PowerShell命令:

l 创建WMI事件客户对象(WMI Event customer object),运行PowerShell并利用管理员权限(权限提升);

l 尝试下载并执行恶意软件,如Mirai、Dark cloud和XMRig矿工。

l 运行一个JavaScript文件,该文件曾在以前的攻击中出现过。例如,MyKing僵尸网络。

l 收集用户名和密码以及存储在本地计算机上的其他用户个人信息,并将被盗数据发送到一个FTP服务器。

被传到到FTP服务器的被盗数据

研究人员表示,目前该FTP服务器仍处于在线,且每一秒钟都会有新的被盗数据上传。这足以表明,这起黑客活动目前仍在继续。

【资源之家】每日免费更新最热门的副业项目资源

发表回复

后才能评论

本站所有资源版权均属于原作者所有,这里所提供资源均只能用于参考学习用,请勿直接商用。若由于商用引起版权纠纷,一切责任均由使用者承担。更多说明请参考 VIP介绍。

最常见的情况是下载不完整: 可对比下载完压缩包的与网盘上的容量,若小于网盘提示的容量则是这个原因。这是浏览器下载的bug,建议用百度网盘软件或迅雷下载。 若排除这种情况,可在对应资源底部留言,或联络我们。

对于会员专享、整站源码、程序插件、网站模板、网页模版等类型的素材,文章内用于介绍的图片通常并不包含在对应可供下载素材包内。这些相关商业图片需另外购买,且本站不负责(也没有办法)找到出处。 同样地一些字体文件也是这种情况,但部分素材会在素材包内有一份字体下载链接清单。

如果您已经成功付款但是网站没有弹出成功提示,请联系站长提供付款信息为您处理

源码素材属于虚拟商品,具有可复制性,可传播性,一旦授予,不接受任何形式的退款、换货要求。请您在购买获取之前确认好 是您所需要的资源