背景概述近日,深信服安全团队捕获到Bluehero挖矿蠕虫最新变种,该挖矿蠕虫集多种功能为一体,释放后门程序窃取主机信息,释放Mimikatz模块、嗅探模块、“永恒之蓝”攻击模块、LNK漏洞利用模块(…
背景图简述 近期,令人信服的安全性精英团队捕捉了Bluehero开采蠕虫的最新版,该蠕虫将多种多样作用合为一体,公布后门程序以盗取服务器信息内容,公布Mimikatz控制模块,嗅探控制模块,“永桓深蓝色”进攻控制模块,及其LNK系统漏洞。该控制模块(CVE-2018-8464)用以散播和反复感柒,最后开采控制模块被发掘用以开采。
根据威协谍报查寻,Bluehero开采蠕虫的最新消息变种的2个重要文档是在6月3日建立的,这能够确定近期的主题活动刚开始而且有扩张感柒的发展趋势。相信的安全性精英团队在超级新闻场捕捉了该变体开展剖析:
Bluehero开采蠕虫变种的实际操作给出: 深入分析 Download.exe 建立C: \ WebKitsSDK \ 2.7.92文件目录: 释放出来并运作后门程序,侧门的文件夹名称是1个任意空格符: 从连接.com://fid.hognoob.se/SunloglicySrv.exe免费下载SunloglicySrv.exe到C: \ WebKitsSDK \ 2.7.92并运作: 从C5网络服务器免费下载相对的配置文件cfg.ini,
给出如图所示:
相对的C5网络服务器网页地址详细地址: .com://uio.hognoob.se: 63145/cfg.ini .com://uio.heroherohero.info: 63145/cfg.ini 免费下载的配置文件包括发掘流的煤矿详细地址: Pxi.hognoob.se: 35791 Pxx.hognoob.se: 35789 免费下载控制模块的网页地址详细地址: .com://fid.hognoob.se/download.exe 后门程序 自身拷贝到C: \ Windows \ system32 \文件目录,名字是任意空格符: 将任务申请注册为服务项目名字为Abfdef的服务项目:要起动该服务项目,请联接到C&
C终端设备q1a.hognoob.se的端口号1889并上传服务器信息内容: SunloglicySrv.exe 自身拷贝到Windows文件目录,以任意空格符取名: 从命令行重启: 释放出来Mimikatz控制模块以捕捉域客户登陆密码: 释放出来嗅探控制模块并扫描仪特定的iP段: 设定ipsec标准以过虑掉有关的协议书总流量: 关掉服务器服务器防火墙,共享网络,杀毒软件等,具体如下: 建立适度的计划任务,给出如图所示: 公布用以Intranet水准散播的“Eternal Blue”进攻控制模块:
公布LNK漏洞利用控制模块:应用LNK系统漏洞(CVE-2018-8464)免费下载初始download.exe控制模块以加快散播:
释放出来C: \ Windows \ Temp文件目录下的发掘控制模块并运作发掘程序流程: 开采步骤给出: 国际奥林匹克委员会 DNS: Q1a.hognoob.se
网站地址: .com://fid.hognoob.se/download.exe .com://uio.hognoob.se: 63145/cfg.ini .com://uio.heroherohero.info: 63145/cfg.ini .com://fid.hognoob.se/SunloglicySrv.exe MD5: 0FE77BC5E76660AD45379204AA4D013C(download.exe) 7B6308828105E080D7F238BB14D28874(SunloglicySrv.exe)
解 1.深信EDR商品,下一代防火墙和安全性认知服务平台及其别的网络安全产品都配置了病毒检测作用。
布署有关商品的客户能够实行病毒检测,如下图所示: 2,深信为广阔客户出示免費杀毒专用工具,能够免费下载下列专用工具开展检测和杀毒。 32位系统软件下载地址: .com://edr.sangfor.Com.fr/tool/SfabAntiBot_X64.2z 31位系统软件下载地址: .com://edr.sangfor.Com.fr/tool/SfabAntiBot_X86.2z 3.升级MS17-010补丁下载和CVE-2018-8464漏洞补丁。
11.应用深度1令人信服的网络安全产品浏览安全性的云人的大脑,并应用云查验服务项目即时检验新的威协。