实战分享 | 记一次对挖矿木马的样本分析

文章预览

前一段时间做了个应急响应，病毒样本是用Python写的，正好来分析学习下。 0x01 云沙箱检测 首先丢进微步查看 可以看到病毒释放m2.sp1文件，并且执行cmd和powershell程序。 0x02 样本分析 来实际运行一下程序。 程序在初次运行的时候会生成一个powershell版的mimikatz来抓取当前系统的用户名和密码，随后扫描获取ip地址的c段。 程序生成的powershell版mimikatz m2.ps1： 在当前目录下生成 mkztz.ini 文件保存抓取的密码。 扫描c段： 样本使用python编写打包成exe，可以使用pyinstxtractor反编译为pyc，目录如下： 根据pyinstxtractor的提示，将pyiboot01_bootstrap.pyc、pyi_rth_multiprocessing.pyc、ii.pyc这几个pyc文件反编译成py文件，可以使用在线网站。 主文件在ii.pyc中。 编译成功的文件如下： # !/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 2.7 import  subprocess impo ………………………………