记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

百足之虫:GlobeImposter勒索病毒新手法,利用MSSQL爆破进行攻击

背景概述 近日,深信服安全团队捕获到一起利用MSSQL暴力破解投放勒索病毒的攻击事件,攻击者通过MSSQL的xp_cmdshell执行系统命令,从C&C服务器下载并执行勒索病毒。执行的相关命令如下:     经安全专家分析,攻击者所使用的程序均通过.NET进行Gzip压缩封装,最终将C++编写的PE解压后注入到CasPol.exe进程(.NET的码访问安全性策略工具)执行,经分析为Remcos远控和GlobeImposter勒索病毒。
发布时间:2020-12-18 14:32 | 阅读:20648 | 评论:0 | 标签:.net C ClassLibrary3.dll GlobeImposter GzipStream类 MSSQL Web

GlobeImposter攻破某域控制器,局域网内横向扩散致企业损失惨重

一、事件回顾近日,腾讯安全御见威胁情报中心接到某企业求助,称其局域网内8台服务器遭受勒索病毒攻击。工程师现场勘察后,确认该事件为GlobeImposter勒索病毒通过外网爆破入侵该公司域控服务器,随后利用该机器作为跳板机,登录到该公司内其它机器再次进行勒索加密。黑客入侵示意图腾讯安全专家通过排查被攻击公司的染毒机器,可知该公司染毒的第一台服务器为域管理服务器,该机器由于开启了远程桌面且由于其IP地址暴露在外网从而被爆破入侵,由于该服务器为该公司的域控制器,被入侵控制之后出现灾难性后果:攻击者可任意登录局域网内其它机器,通常情况下,域管理员具备登录域内所有计算机的权限。
发布时间:2019-09-11 13:10 | 阅读:78118 | 评论:0 | 标签:系统安全 GlobeImposter

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云