温馨提示×

温馨提示×

您好,登录后才能下订单哦!

密码登录×
登录注册×
其他方式登录
点击 登录注册 即表示同意《亿速云用户服务条款》

新型JSNEMUCOD病毒样本分析报告是怎样的

发布时间:2021-12-14 10:13:13 来源:亿速云 阅读:131 作者:柒染 栏目:数据安全

这篇文章给大家介绍新型JSNEMUCOD病毒样本分析报告是怎样的,内容非常详细,感兴趣的小伙伴们可以参考借鉴,希望对大家能有所帮助。

0x00 事件概述

近日,亚信安全截获新型脚本病毒JS/NEMUCOD,该病毒通过混淆以及加密的方式躲避杀毒软件检测,其通过网络共享磁盘及可移动磁盘进行传播。JS/NEMUCOD脚本病毒还具有收集被感染计算机信息、删除系统中的文件等恶意行为。亚信安全将其命名检测为TrojanSpy.JS.NEMUCOD.BONING。

0x01 事件分析

该样本是一个经过混淆的JS脚本,原始落地样本文件(shell.jse)内容如下:

新型JSNEMUCOD病毒样本分析报告是怎样的经过解密和混淆后的样本如下:

新型JSNEMUCOD病毒样本分析报告是怎样的新型JSNEMUCOD病毒样本分析报告是怎样的

该样本主要的恶意行为如下:

<1>它会链接如下网址发送和接收数据。

新型JSNEMUCOD病毒样本分析报告是怎样的

新型JSNEMUCOD病毒样本分析报告是怎样的

<2>它会收集系统如下数据:

当前系统进程列表计算机用户名
计算机域名计算机系统版本

新型JSNEMUCOD病毒样本分析报告是怎样的

<3>:该病毒具有传播功能,如果它在自己的C&C服务器上下载文件失败,其将在网络共享和可移动驱动器中查找具有以下扩展名的文件,删除该文件,并使用自身的副本替换已删除的文件:

.doc.xls.pdf.rtf
.pub.odt.ods.odp
.odc.odb.txt.odm

新型JSNEMUCOD病毒样本分析报告是怎样的

新型JSNEMUCOD病毒样本分析报告是怎样的

<4>它具有反调试能力,如果发现系统上有防病毒软件、调试工具以及具体字符串时,将会自动终止自身运行。

内存中有如下进程:

anti - virus.EXElordPE.exeB.exeiexplore.exeProxifier.exe
ctfmon.exeAgentSimulator.exeVzService.exeVBoxTray.exegemu - ga.exe
BennyDB.exewindanr.exe   

系统中存在有如下调试工具:

ProcmonWiresharkProcessHackervmtoolsdVBoxService
ImmunityDebuggerBehaviorDumperPROCMONprocexptcpdump
FrzState2kDFLocker64vmwareLOGService.exe 

系统环境中存在如下字符串:

VmRemoteGuestSystemIT|adminWIN7 - TRAPSEmilymilozs
JohnsonHAPUBWSPeter WilsonHong Lee 

新型JSNEMUCOD病毒样本分析报告是怎样的<5>执行后会删除自身。    

0x02 解决方案

1、不要点击来源不明的邮件以及附件;

2、不要点击来源不明的邮件中包含的链接;

3、采用高强度的密码,避免使用弱口令密码,并定期更换密码;

4、打开系统自动更新,并检测更新进行安装;

5、尽量关闭不必要的文件共享;

6、请注意备份重要文档。备份的最佳做法是采取3-2-1规则,即至少做三个副本,用两种不同格式保存,并将副本放在异地存储。

0x03 关联性分析(无文件挖矿病毒)

JS/NEMUCOD病毒最早出现于2016年,起初Nemucod 木马程序是一个将自己伪装成安全文件的恶意软件。这些文件可以从不安全的网页下载,或通过垃圾邮件附件传播,这些具有欺骗性的邮件附件含有 JavaScript 代码,次代码会下载及运行 Nemucod 病毒的可执行文件。在勒索病毒“漫天飞舞”的时代,Nemucod自然与勒索病毒也存在关系,例如知名的Locky勒索病毒就曾利用JS/Nemucod进行下载和传播。

近期,亚信安全发现本次样本的相关信息(或者类似样本)出现在Pastebin上,Pastebin是一个用户存储纯文本的web应用,近年来,黑客常常利用此应用放置后门脚本,由于它很方便下载和读取内容,只需要通过固定的url就可以实现下载和读取相应内容。

新型JSNEMUCOD病毒样本分析报告是怎样的

之前较为流行的利用powershell进行无文件挖矿病毒就利用了这个特性,只需要将脚本放到此网站,然后通过powershell的命令通过固定url远程下载到内存执行即可实现其恶意行为。而这些命令通常是利用弱口令或MS17-010等漏洞在内网中传播,所以加强计算机的安全管理显得尤为重要。同样地我们也不排除未来此病毒通过powershell的方式进一步传播。     

新型JSNEMUCOD病毒样本分析报告是怎样的新型JSNEMUCOD病毒样本分析报告是怎样的    新型JSNEMUCOD病毒样本分析报告是怎样的

IOCs

MD5

样本名称MD5亚信安全检测名
Shell.jsee6adc360a1c095f8ed1e53e5c90d467461d24578TrojanSpy.JS.NEMUCOD.BONING  

URL

https://185[.]159[.]82[.]15/hollyhole/c644[.]php

https://185.159.82.20/t-34/x644.php

关于新型JSNEMUCOD病毒样本分析报告是怎样的就分享到这里了,希望以上内容可以对大家有一定的帮助,可以学到更多知识。如果觉得文章不错,可以把它分享出去让更多的人看到。

向AI问一下细节

免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

AI