新型JSNEMUCOD病毒樣本分析報告是怎樣的

這篇文章給大家介紹新型JSNEMUCOD病毒樣本分析報告是怎樣的，內容非常詳細，感興趣的小伙伴們可以參考借鑒，希望對大家能有所幫助。

0x00 事件概述

近日，亞信安全截獲新型腳本病毒JS/NEMUCOD，該病毒通過混淆以及加密的方式躲避殺毒軟件檢測，其通過網絡共享磁盤及可移動磁盤進行傳播。JS/NEMUCOD腳本病毒還具有收集被感染計算機信息、刪除系統中的文件等惡意行為。亞信安全將其命名檢測為TrojanSpy.JS.NEMUCOD.BONING。

0x01 事件分析

該樣本是一個經過混淆的JS腳本，原始落地樣本文件（shell.jse）內容如下：

經過解密和混淆后的樣本如下：

該樣本主要的惡意行為如下：

<1>它會鏈接如下網址發送和接收數據。

<2>它會收集系統如下數據：

<3>:該病毒具有傳播功能，如果它在自己的C&C服務器上下載文件失敗，其將在網絡共享和可移動驅動器中查找具有以下擴展名的文件，刪除該文件，并使用自身的副本替換已刪除的文件：

<4>它具有反調試能力，如果發現系統上有防病毒軟件、調試工具以及具體字符串時，將會自動終止自身運行。

內存中有如下進程：

系統中存在有如下調試工具：

系統環境中存在如下字符串：

<5>執行后會刪除自身。    

0x02 解決方案

1、不要點擊來源不明的郵件以及附件；

2、不要點擊來源不明的郵件中包含的鏈接；

3、采用高強度的密碼，避免使用弱口令密碼，并定期更換密碼；

4、打開系統自動更新，并檢測更新進行安裝；

5、盡量關閉不必要的文件共享；

6、請注意備份重要文檔。備份的最佳做法是采取3-2-1規則，即至少做三個副本，用兩種不同格式保存，并將副本放在異地存儲。

0x03 關聯性分析（無文件挖礦病毒）

JS/NEMUCOD病毒最早出現于2016年，起初Nemucod 木馬程序是一個將自己偽裝成安全文件的惡意軟件。這些文件可以從不安全的網頁下載，或通過垃圾郵件附件傳播，這些具有欺騙性的郵件附件含有 JavaScript 代碼，次代碼會下載及運行 Nemucod 病毒的可執行文件。在勒索病毒“漫天飛舞”的時代，Nemucod自然與勒索病毒也存在關系，例如知名的Locky勒索病毒就曾利用JS/Nemucod進行下載和傳播。

近期，亞信安全發現本次樣本的相關信息（或者類似樣本）出現在Pastebin上，Pastebin是一個用戶存儲純文本的web應用，近年來，黑客常常利用此應用放置后門腳本，由于它很方便下載和讀取內容，只需要通過固定的url就可以實現下載和讀取相應內容。

之前較為流行的利用powershell進行無文件挖礦病毒就利用了這個特性，只需要將腳本放到此網站，然后通過powershell的命令通過固定url遠程下載到內存執行即可實現其惡意行為。而這些命令通常是利用弱口令或MS17-010等漏洞在內網中傳播，所以加強計算機的安全管理顯得尤為重要。同樣地我們也不排除未來此病毒通過powershell的方式進一步傳播。     

IOCs

MD5

URL

https://185[.]159[.]82[.]15/hollyhole/c644[.]php

https://185.159.82.20/t-34/x644.php

關于新型JSNEMUCOD病毒樣本分析報告是怎樣的就分享到這里了，希望以上內容可以對大家有一定的幫助，可以學到更多知識。如果覺得文章不錯，可以把它分享出去讓更多的人看到。