实战分享 | 记一次对挖矿木马的样本分析

文章预览

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！ 前一段时间做了个应急响应，病毒样本是用Python写的，正好来分析学习下。 0x01 云沙箱检测 首先丢进微步查看 可以看到病毒释放m2.sp1文件，并且执行cmd和powershell程序。 0x02 样本分析 来实际运行一下程序。 程序在初次运行的时候会生成一个powershell版的mimikatz来抓取当前系统的用户名和密码，随后扫描获取ip地址的c段。 程序生成的powershell版mimikatz m2.ps1： 在当前目录下生成 mkztz.ini 文件保存抓取的密码。 扫描c段： 样本使用python编写打包成exe，可以使用pyinstxtractor反编译为pyc，目录如下： 根据pyinstxtractor的提示，将pyiboot01_bootstrap.pyc、pyi_rth_multiprocessing.pyc、ii.pyc这几个 ………………………………