由SQLserver数据库弱口令拿到系统权限发现勒索病毒
本帖最后由 tony1990 于 2019-7-12 16:56 编辑由于数据库给的权限太高,导致可以进行服务器命令执行查看服务器端口的连接状态:
创建服务器账号并加到管理员组:
用创建的账号登录服务器:
查看服务器外连的进程情况,发现大量的异常外连尝试:
经排查未发现可疑用户、计划任务,但是发现异常进程:
病毒分析过程发现的病毒文件,该文件是mssecsvc.exe,经分析该文件是病毒木马的母体:
病毒执行后,会启动线程,循环的向局域网的随机ip发送SMB漏洞利用代码:
病毒文件相关逻辑分析:
在虚拟机启动病毒文件后,监控到的进程:1) 创建多个执行文件2) 加载动态链接库3) 创建socket连接4) 尝试打开链接地址5) 移动及重命名敲诈加密程序tasksche.exe 最终选择重装系统。
期待楼主更多详细的分析。 大白痴先生 发表于 2019-7-18 22:36
楼主你好啊,你的第一张图里是什么工具呀,谢谢啦
sqltoos以及MSSQL数据分析器都可以 期待楼主更多详细的分析。 楼主你好啊,你的第一张图里是什么工具呀,谢谢啦 大白痴先生 发表于 2019-7-18 22:36
楼主你好啊,你的第一张图里是什么工具呀,谢谢啦
sqltoos以及MSSQL数据分析器都可以 期待楼主的详细分析
gmd81 发表于 2019-7-30 19:23
学习来了,一点也看不懂。
以后尽量的分析的细致一些 学习一波,虽然新人不是很懂 biu~biu~biu 发表于 2019-7-31 22:10
学习一波,虽然新人不是很懂
大家互相学习啊{:1_893:}
页:
[1]
2