FreeBuf|“黑球”攻击仍在行动:从检测杀软到安装挖矿( 二 )
本文插图
本文插图
payload内容分析我们看到此脚本有对计划任务blackball的判断 , 看是否目标设备已经中了此挖矿病毒 。 称为“黑球”行动的来源也是如此 。
本文插图
首先会判断系统中是否有安装杀软产品 , 如果有则自动卸载他们 。 杀软产品包括ESET、卡巴斯基和AVAST等 。
本文插图
然后检查是否存在“黑球”计划任务 , 如果存在 , 则不进行恶意行为 , 说明此系统已经感染过该挖矿病毒 , 反之则进行后续的注册表、服务和文件的挖矿程序相关的恶意操作(详细可参考腾讯发布的相关挖矿程序分析) 。
本文插图
C2地址没有变化 , 具体如下:
删除计划任务和对系统防火墙等相关的设置 。
本文插图
参考信息永恒之蓝木马下载器发起 “黑球”行动 , 新增SMBGhost漏洞检测能力
IOC信息URL
hXXp://t.amynx.com:80/mail.jsp?doc_0.7?XXX
hXXp://t.amynx.com:80/7p.php?0.7*mail_docXXXXXXX
SHA-1
237BB7DC21CC27D2FEC70027078E6EC2FA33F61D
精彩推荐
本文插图
本文插图
推荐阅读
![[甜初影视]这几款车不妨看一看,赶超韩系合资,都说国产车“三大件”不行](https://imgcdn.toutiaoyule.com/20200416/20200416123331690773a_t.jpeg)
- 烟雨遥远|“黑色死神”,二战最危险岗位,华为为何转发苏联伊尔2攻击机?
- 环球科技在此|推特遭大规模攻击后续:四名黑客浮出水面,有用户数据被下载
- FreeBuf|管中窥豹之工控设备解密
- FreeBuf|工控渗透框架:PLC密码检测
- 台式机&硬件|硬件层面的攻击:边信道攻击
- 墙头说安全|欧洲电信巨头遭到勒索病毒攻击2.66亿用户数据泄露
- 青年|金·卡戴珊、马斯克、比尔·盖茨、奥巴马等名人推特账号被攻击
- 界面新闻|推特史上最大漏洞:黑客攻击美国名流账号盗走十多万美元比特币
- 美股研究社|推特称多数账户可恢复发布推文,此前大量名人账号被黑客攻击
- FreeBuf|谷歌副总裁宣布退出Black Hat,称“黑帽”涉嫌种族歧视