本文详细解析了Mallox勒索病毒的攻击技术、战术和流程(TTPs),探讨了其使用下载器而非直接下载勒索软件的原因,并指出了IP地址193.106.191[.]141作为数据收集服务器的作用。
Mallox勒索病毒的攻击TTPs:
虚线框住的部分是实际现场溯源时得不到证据的部分。
为什么powershell不直接下载勒索病毒,要下载个EXE下载器再下载勒索软件?
一、廉价易做的downloader容易被现场处理人员当作病毒,大部分处理人员不具备能力或时间去分析二进制文件。
二、木马托管服务器通过频繁更改不容易被爆破扫描的目录,防止恶意文件被反复下载。
三、勒索的自删除可以保护数据收集服务器的暴露,数据收集服务器可以更加稳定。
193.106.191[.]141这个IP是11月-12月使用的数据收集服务器。在VT上可以关联到一车Mallox勒索病毒样本,如果你家11月-12月中招的话,一定不要忘了看看防火墙日志上有没有通信这个IP。
分析报告
https://blog.cyble.com/2022/12/08/mallox-ransomware-showing-signs-of-increased-activity/
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
