主要观点总结
该文章详细分析了一个名为“驱动人生”的病毒样本,通过应急响应和深入分析,揭示了该病毒使用Python编写,并利用445端口SMB爆破、永恒之蓝漏洞和SQL Server弱口令进行攻击,同时利用计划任务实现持久化,以隐蔽自身。病毒还通过加载mimikatz来窃取系统信息,包括用户名和密码,用于后续的攻击和爆破。该病毒具有多个迭代版本,且攻击手段成熟,具有挖矿木马特性。文章提供了关于病毒特征的详细描述,并给出了修复建议。
关键观点总结
关键观点1: 病毒样本特征
病毒样本使用Python编写,通过445端口SMB爆破、永恒之蓝漏洞和SQL Server弱口令进行攻击,利用计划任务实现持久化,同时加载mimikatz窃取系统信息。
关键观点2: 病毒传播和攻击方式
病毒通过计划任务和powershell执行命令,实现隐蔽和持久化,利用弱口令和漏洞进行攻击。
关键观点3: 病毒版本和迭代
病毒有多个迭代版本,具有挖矿木马特性,且攻击手段成熟。
关键观点4: 修复建议
断开网络、关闭不必要端口、修复安全补丁漏洞、修改复杂密码、安装杀毒软件等防病毒工具进行全盘扫描。
文章预览
前一段时间做了个应急响应,病毒样本是用Python写的,正好来分析学习下。 0x01 云沙箱检测 首先丢进微步查看 可以看到病毒释放m2.sp1文件,并且执行cmd和powershell程序。 0x02 样本分析 来实际运行一下程序。 程序在初次运行的时候会生成一个powershell版的mimikatz来抓取当前系统的用户名和密码,随后扫描获取ip地址的c段。 程序生成的powershell版mimikatz m2.ps1: 在当前目录下生成 mkztz.ini 文件保存抓取的密码。 扫描c段: 样本使用python编写打包成exe,可以使用pyinstxtractor反编译为pyc,目录如下: 根据pyinstxtractor的提示,将pyiboot01_bootstrap.pyc、pyi_rth_multiprocessing.pyc、ii.pyc这几个pyc文件反编译成py文件,可以使用在线网站。 主文件在ii.pyc中。 编译成功的文件如下: # !/usr/bin/env python # visit https://tool.lu/pyc/ for more information # Version: Python 2.7 import subprocess impo
………………………………
