首页 > 安全资讯 > 正文

本周安全形势总结

挖矿木马攻击

WannaMine更新。针对服务器的大型挖矿僵尸网络WanneMine在本周迎来更新,从它的更新信息(hxxp://185.128.40.102/ver.txt)来看,WannaMine已经更新到了1.4版本。

WannaMine新版本与旧版本在获利方式上相同,通过向服务器植入挖矿木马获利;在传播方式上,新版本依然是沿用老版本的“永恒之蓝+mimikatz“的攻击策略;在攻击方式上,新版本WannaMine使用前段时间国外安全研究人员公开的wmic攻击手法(https://subt0x11.blogspot.com/2018/04/wmicexe-whitelisting-bypass-hacking.html)试图绕过安全软件的防御。

IOC

hxxp://185.128.40.102/antivirus.ps1

hxxp://185.128.40.102/1.xsl

hxxp://185.128.40.102/antitrojan.ps1

hxxp://185.128.40.102/antivirus.php

hxxp://185.128.40.102/ver.txt

hxxp:// 185.128.40.102/cohernece.txt

hxxp:// 185.128.40.102/logos.png

hxxp://update.7h4uk.com

hxxp://info.7h4uk.com

hxxp://107.148.195.71/w_case/login.php

hxxp://d4uk.7h4uk.com/w_download.exe

(注:info.7h4uk.com和update.7h4uk.com两个域名本周都解析到185.128.40.102,实际攻击中会优先使用update.7h4uk.com,185.128.40.102次之,info.7h4uk.com优先级最低)

其他新出现家族。本周出现了一些新的针对服务器的挖矿木马家族,不过与上个月相比较新增家族数量已经减少了许多。特别是针对Weblogic服务器的挖矿木马,除了WannaMine还保持活跃之外,其他家族多销声匿迹。或许大家都在等待下一个Weblogic远程代码执行漏洞的出现。

IOC

hxxp://103.99.115.220:8080/aaa.exe

hxxp://a46.bulehero.in/downloader.exe

挂马攻击

CVE-2018-8174首现野外挂马攻击。具体内容见报告https://weibo.com/ttarticle/p/show?id=2309404245719602065048

IOC

C&C

hxxp://ozvdkfpg2.bkt.clouddn.com

hxxp://221.229.166.239:6656

MD5

56bc93045082fc9055de7de3bedfdd74

9168f8cfedd537e86d8051a0b5b01c83

Office漏洞攻击

银行木马依然是Office漏洞攻击的主力军。本周观察到的较为活跃的银行木马为LokiBot,LokiBot银行木马迭代速度极快,部分载荷托管地址仅仅被使用一天,因此每天都出现大量新的LokiBot载荷托管地址。在漏洞利用方面,微软公式编辑器漏洞依然是银行木马的最爱,也有部分银行木马(例如TrickBot)通过宏执行恶意Powershell命令下载载荷到本地执行。

IOC

LokiBot

hxxp://84.38.129.111/system/doro.exe

hxxp://olorioko.ga/bin/olori.exe

hxxps://mygooseworks.com/home/cache/dirp/soc.exe

hxxp://mygooseworks.com/images/jar.exe

hxxps://mygooseworks.com/home/tmp/tar.exe

hxxps://mygooseworks.com/home/xmlrpc/slo.exe

hxxps://mygooseworks.com/home/plugins/fot.exe

hxxp://e-ylhua.com/maski_dada.msi

hxxp://servicelearning.thu.edu.tw/sop.exe

hxxp://servicelearning.thu.edu.tw/teri.exe

hxxp://meta-mim.in/dan.exe

hxxp://meta-mim.in/uch.exe

hxxp://internationalcon.com/ar/home/eat.exe

hxxp://internationalcon.com/assets/fonts/soc.exe

hxxp://internationalcon.com/ar/jakuzo/fynoy/ste.exe

hxxp://internationalcon.com/ar/jakuzo/fynoy/olumain/sam.exe

hxxp://internationalcon.com/ar/jakuzo/flo.exe

hxxp://internationalcon.com/ar/jakuzo/sup.exe

hxxp://2toporaru.432.com1.ru/soft.msi

hxxp://2toporaru.432.com1.ru/dstcncry.msi

hxxp://psatafoods.com/img/img99000.exe

hxxp://vesinee.com/sol.exe

hxxp://vidyutmax.com/bobby/015643672432450.exe

hxxp://mcts-qatar.com/po/piil.exe

hxxp://segurosboadilladelmonte.com/libraries/tcpdf/soco.exe

hxxp://thehairhive.ca/sql/werdftyxcv.exe

hxxp://indostraits.co.id/book.exe

hxxp://indostraits.co.id/man.exe

hxxp://indostraits.co.id/noblll.exe

hxxp://www.lnsect-net.com/2223.exe

AgentTesla

hxxp://emifile.com/rus/muse14789.exe

hxxp://emifile.com/gos/uo.exe

hxxp://sunusa.in//img/mine10/gervinho.exe

FormBook

hxxp://i-razum.ru/uo/po.exe

hxxp://84.38.129.111/system2/jooo.exe

hxxp://84.38.129.111/doro2/mamez.exe

hxxp://185.11.146.84/private/tmp/tmp.exe

hxxp://www.milehighhomebuyers.com/wp-content/themes/new

Pony

hxxp://www.milehighhomebuyers.com/wp-admin/zy/bin_outputa09575f.exe

hxxp://ecodot.net/modules/contextual/images/two/ukbros001.exe

hxxp://internationalcon.com/ar/jakuzo/fynoy/olumain/djuk/press.exe

hxxp://vegito.ru/fresh/test.scr

NetWire

hxxp://ecodot.net/modules/contextual/images/two/jon001.exe

hxxp://www.ramatfactory.com.sa/windows/windows.exe

hxxp://chubbylogz.ga/bin/system.exe

HawkEye

hxxp://tilesforafrica.com/tt.exe

hxxp://thejutefibersbd.com/msdoc/1234.exe

RemcosRAT

hxxp://www.switzersfinance.com/222321.exe

hxxp://www.nor-a.com/shared/fileserver/1.exe

TrickBot

hxxp://misionpsicologica.com/outurg.bin

hxxp://carasaan.com/logo.bin

360安全卫士

热点排行