近日,国外的安全研究人员发现一个新型恶意软件,此恶意软件主要影响Windows用户,当成功入侵我们的电脑后,会收集设备上的敏感数据包括登录凭证、系统版本以及个人信息等,最后将收集到的信息传回服务器。
此款新型恶意软件的名字为Mimikatz,最近恶意活动的主要范围在亚太地域,与僵尸 络Mirai有一定的联系。
Mimikatz首先会通过C2服务器下载ups.rar可执行文件,然后判断服务器环境,当被感染的计算机为Windows系统时进行下一步攻击。
判断环境后找到Windows Server,发送两个GET请求,第一个可部署批处理文件触发无文件攻击,另一个可以发送请求与C2服务器同步并获得新版本信息。在批处理文件中隐藏着Mirar模块,攻击者利用僵尸 络模块可发动其它恶意行为,例如提升权限以及下载挖矿木马等。
Mimikatz下载恶意挖矿木马文件时,为避免被安全软件检测到异常行为,它会调用另一个命令下载运行命令的ps1文件。
对于用户隐私数据,Mimikatz会从外部调用Mimikatz转储密码,然后将所有信息保存在一个文件中,最后将文件上传回攻击者管理的服务器。
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!