实战分享 | 记一次对挖矿木马的样本分析

主要观点总结

该文章分析了一个名为Tide的安全团队对一个病毒样本的应急响应过程，病毒使用Python编写，涉及对系统用户名和密码的抓取，IP地址扫描，以及利用445端口SMB爆破、永恒之蓝漏洞和1433端口的SQL Server弱口令进行攻击。病毒通过计划任务实现持久化，并使用PowerShell执行命令，从而隐蔽自己。该病毒迭代版本较多，且存在多个特征，包括在C:\Windows\Temp目录下的特定文件，特定的计划任务，以及可能被添加的k8h3d用户等。文章还提供了修复建议，包括断开网络，关闭不必要的端口，定期修复安全补丁漏洞，修改弱口令为复杂密码，安装杀毒软件等。

关键观点总结

关键观点1: 病毒特性

病毒通过Python编写，涉及对系统用户名和密码的抓取，IP地址扫描，以及利用445端口SMB爆破、永恒之蓝漏洞和1433端口的SQL Server弱口令进行攻击。病毒通过计划任务实现持久化，并使用PowerShell执行命令，从而隐蔽自己。

关键观点2: 病毒迭代版本

病毒有多个迭代版本，特征可能有所不同，但通常涉及在C:\Windows\Temp目录下的特定文件，特定的计划任务，以及可能被添加的k8h3d用户等。

关键观点3: 修复建议

建议断开网络，关闭不必要的端口，定期修复安全补丁漏洞，修改弱口令为复杂密码，安装杀毒软件等。

文章预览

声明：Tide安全团队原创文章，转载请声明出处！文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途给予盈利等目的，否则后果自行承担！ 前一段时间做了个应急响应，病毒样本是用Python写的，正好来分析学习下。 0x01 云沙箱检测 首先丢进微步查看 可以看到病毒释放m2.sp1文件，并且执行cmd和powershell程序。 0x02 样本分析 来实际运行一下程序。 程序在初次运行的时候会生成一个powershell版的mimikatz来抓取当前系统的用户名和密码，随后扫描获取ip地址的c段。 程序生成的powershell版mimikatz m2.ps1： 在当前目录下生成 mkztz.ini 文件保存抓取的密码。 扫描c段： 样本使用python编写打包成exe，可以使用pyinstxtractor反编译为pyc，目录如下： 根据pyinstxtractor的提示，将pyiboot01_bootstrap.pyc、pyi_rth_multiprocessing.pyc、ii.pyc这几个 ………………………………