360安全大脑监测到通过"驱动人生"供应链攻击传播的挖矿木马在1月30日下午4时左右再次更新。此次更新中,木马在此前抓取系统帐户密码的基础上增加了抓取密码hash值的功能,并试图通过pass the hash攻击进行横向渗透,使得该木马的传播能力进一步加强,即使是有高强度口令的机器也有可能被攻陷。

pass the hash也称作哈希传递攻击,攻击者可以直接通过密码的哈希值访问远程主机或服务,而不用提供明文密码。攻击者使用pass the hash技术尝试在系统登录密码非弱口令并且无法抓取登录密码的情况下进行横向攻击,增加攻击成功率。

此次更新是由hxxp://r.minicen.ga/r和hxxp://v.beahh.com/v这两个后门下载Url下发的。更新成功后从hxxp://139.162.107.97/new.dat下载PowerShell脚本保存为cred.ps1执行攻击。

图1 下载PowerShell脚本并执行

cred.ps1复用了Invoke-SMBClient和PowerDump两个开源项目完成密码哈希值抓取与pass the hash攻击。此外,cred.ps1中还存储了若干弱口令的哈希值,cred.ps1在抓取密码哈希值完成pass the hash攻击的同时也会使用这些弱口令的哈希值完成pass the hash攻击,这与之前该家族在使用Mimikatz抓取登录密码横向渗透的同时使用弱口令爆破的思路是一致的。

图2 cred.ps1中使用的弱口令哈希值

攻击成功后,cred.ps1会在目标机器上通过certutil.exe从hxxp://cert.beahh.com/cert.php下载载荷执行,目前该载荷还未上线。

攻击者此时更新主要原因在于其构建的僵尸网络扩张速度不够快。从360互联安全中心的监测数据看,该家族自1月25日更新所带来的上涨之后就保持平稳微降的趋势,这显然不符合攻击者的预期。从攻击者之前的动作看,其意欲构建一个大型僵尸网络并将其转化为获利工具。

图3 通过"驱动人生"供应链攻击传播的挖矿木马家族攻击趋势

值得一提的是,攻击者将系统密码抓取与系统密码哈希值抓取加入攻击模块后,该木马的危险程度激增。因为这意味着即使用户使用强度高的登录口令同样可能被该木马攻击。不过安装了360安全卫士的用户完全无需担心,360安全卫士能够拦截该木马的攻击,保护用户计算机的安全。

IOC

hxxp://r.minicen.ga/r

hxxp://v.beahh.com/v

hxxp://139.162.107.97/new.dat

hxxp://p.beahh.com/upgrade.php

lsass.exe 当试图更新密码时_“驱动人生”下载器木马再度更新-你应该注意什么?...相关推荐

  1. 下载pyboard的flash中的驱动程序_驱动人生下载-驱动人生绿色最新下载正式版

    驱动人生是一款超好用的驱动智能检测和安装的软件,这款软件中的功能比较全面好用,大量的驱动程序等,都让用户们可以更好的掌握与使用,大量的安装方式也可供用户们进行选择哦~ 驱动人生介绍: 一.即插即用移动 ...

  2. qt更新组件时,提示无法下载存档

    更新组件时,提示无法下载存档,就是因为连不是 download.qt.io/online 解决方法: 打开命令行,我是用管理员身份打开的 转到你安装qt的目录,我是D盘,就转到D盘 下边指令前边那个路 ...

  3. 统信UOS手动更新系统时备份失败,如何用命令自动更新系统

    统信UOS系统的每次更新都会适配更多的东西,所以更新系统是很有必要的. 1.在 设置 可以检查更新系统.正常流程是 检查更新-下载文件-安装更新-备份文件-更新完毕 重启即可. 2.但是一些用户就不会 ...

  4. js 防止恶意刷新_【js脚本】短视频下载器 2.5 更新

    最近某短视频下载失效,基本所有规则和脚本都无法下载他家的无水印,这里我就不说是谁了,不然又给我发警告函律师函什么的.所有这里就不放出规则版的了,可以使用别人做的,看见今天也有其他人更新.如果你喜欢用小 ...

  5. win32应用程序_驱动人生网卡版提示不是有效的应用程序,为什么和怎么办

    嗨!我是驱动哥,今天准备了一篇新的解决方案. 近期在用户在Q群上咨询驱动哥,用安卓手机下载驱动人生网卡版后,再传到电脑上出问题了. 如果电脑是Win7的系统就会提示[驱动人生网卡版exe不是有效的Wi ...

  6. 苹果6系统怎么更新不了_苹果12app下载不了软件怎么办-苹果12AppStore下载不了软件解决方法...

    苹果12app下载不了软件怎么办?IPhone12App Store下载不了东西?当我们在使用IPhone12手机时,出现App Store应用商店无法下载软件的情况时,该怎么解决这种问题呢,苹果12 ...

  7. 全民农场服务器维护,全民农场1月22日更新了什么_全民农场1月22日更新维护内容介绍_游戏堡...

    全民农场今日更新之后将上线非常多精彩的活动内容,下面小编就为大家介绍一下全民农场1月22日更新维护内容. <全民农场>将于1月22日12:00~18:30不停机更新,快来看看新的农场消息~ ...

  8. 绝地求生服务器维护9月19日,绝地求生9.19更新了什么_绝地求生9月19日更新内容介绍_游戏吧...

    绝地求生9月19日进行更新,此次更新游戏主要在于提高客户端稳定性,并且修复了部分bug,感兴趣的小伙伴快来看看绝地求生9月19日更新内容介绍.希望对大家有所帮助. 正式服维护公告 我们将在北京时间9月 ...

  9. 逆水寒7月19服务器维护,逆水寒7月19日更新了什么_逆水寒7月19日更新内容汇总_斗蟹游戏网...

    逆水寒7月19日更新了什么?不清楚的玩家不妨来看看小编为大家带来的逆水寒7月19日更新内容汇总,希望能为大家带去帮助! 逆水寒7月19日更新内容汇总 1.为了让大家能更合理地安排游戏和休息时间,我们将 ...

最新文章

  1. python web开发框架flask_Python Web 开发框架,Flask 与 Django那个更好
  2. 飞线5根连接图_“飞线”和“跳线”有什么区别,你用对了吗?电路故障的排查方法...
  3. Windows的驱动开发模型
  4. Sed教程(四):基本命令、特殊字符、字符串
  5. RTSP再学习 -- Hi3516A RTSP实例 分析
  6. Python_列表常用操作
  7. linux mint 18 mysql_linux mint下mysql中文支持问题
  8. uilabel 自行撑开高度_UILabel文本高度计算的那些事儿
  9. 服务注册中心 eureka 搭建
  10. Unity3d常用插件
  11. mysql安装设置mysql字符集utf8及修改密码
  12. 计算机图形学中的边标志算法c++程序实现2
  13. 【翻转整数考虑溢出】LeetCode 7. Reverse Integer
  14. 计算机操作系统笔记(五)
  15. hashmap java 排序_Java 对HashMap进行排序的三种常见方法
  16. 农产品管理系统-毕设
  17. 计算机桌面全部内容自定义,电脑win10如何恢复自定义桌面图标排列的方法
  18. Unity背包系统(二)背包UI设计
  19. C++语言的特点有哪些
  20. 一寸Timing一寸金,寸金能买寸光阴——CCD

热门文章

  1. springboot 工程启动报错之Consider defining a bean of type ‘XXX’ in your configuration.
  2. Python中生成器generator和迭代器Iterator的使用方法
  3. acdream 1409 Musical 状压DP
  4. HDU - 4497 GCD and LCM
  5. SQLSERVER如何获取一个数据库中的所有表的名称、一个表中所有字段的名称
  6. 白话经典算法系列之中的一个 冒泡排序的三种实现
  7. iOS判断为空或者只为空格
  8. POJ2251Dungeon Master
  9. 学习网页栅格系统的几篇好文
  10. android app的签名,Android APP的签名