Python.Exploit.25

Техническая информация

Изменения в файловой системе

Создает следующие файлы

%TEMP%\_mei7762\crypto\cipher\_arc4.pyd
%TEMP%\_mei7762\crypto\hash\_poly1305.pyd
%TEMP%\_mei7762\crypto\math\_modexp.pyd
%TEMP%\_mei7762\crypto\protocol\_scrypt.pyd
%TEMP%\_mei7762\crypto\publickey\_ec_ws.pyd
%TEMP%\_mei7762\crypto\util\_cpuid_c.pyd
%TEMP%\_mei7762\crypto\util\_strxor.pyd
%TEMP%\_mei7762\microsoft.vc90.crt.manifest
%TEMP%\_mei7762\_ctypes.pyd
%TEMP%\_mei7762\_hashlib.pyd
%TEMP%\_mei7762\_multiprocessing.pyd
%TEMP%\_mei7762\_socket.pyd
%TEMP%\_mei7762\_ssl.pyd
%TEMP%\_mei7762\i_new.exe.manifest
%WINDIR%\temp\admin.txt
%TEMP%\_mei7762\msvcm90.dll
%TEMP%\_mei7762\msvcp90.dll
%TEMP%\_mei7762\msvcr90.dll
%TEMP%\_mei7762\pyexpat.pyd
%TEMP%\_mei7762\python27.dll
%TEMP%\_mei7762\pywintypes27.dll
%TEMP%\_mei7762\select.pyd
%TEMP%\_mei7762\unicodedata.pyd
%TEMP%\_mei7762\win32api.pyd
%TEMP%\_mei7762\win32event.pyd
%TEMP%\_mei7762\win32pipe.pyd
<Текущая директория>\m2.ps1
%TEMP%\_mei7762\crypto\hash\_keccak.pyd
%TEMP%\_mei7762\bz2.pyd
%TEMP%\_mei7762\crypto\hash\_ghash_portable.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_ecb.pyd
%TEMP%\_mei7762\crypto\cipher\_salsa20.pyd
%TEMP%\_mei7762\crypto\cipher\_chacha20.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_aes.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_aesni.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_arc2.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_blowfish.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_cast.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_cbc.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_cfb.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_ctr.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_des.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_des3.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_eksblowfish.pyd
%TEMP%\_mei7762\crypto\hash\_sha512.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_ocb.pyd
%TEMP%\_mei7762\crypto\cipher\_raw_ofb.pyd
%TEMP%\_mei7762\crypto\hash\_blake2b.pyd
%TEMP%\_mei7762\crypto\hash\_blake2s.pyd
%TEMP%\_mei7762\crypto\hash\_md2.pyd
%TEMP%\_mei7762\crypto\hash\_md4.pyd
%TEMP%\_mei7762\crypto\hash\_md5.pyd
%TEMP%\_mei7762\crypto\hash\_ripemd160.pyd
%TEMP%\_mei7762\crypto\hash\_sha1.pyd
%TEMP%\_mei7762\crypto\hash\_sha224.pyd
%TEMP%\_mei7762\crypto\hash\_sha256.pyd
%TEMP%\_mei7762\crypto\hash\_sha384.pyd
%TEMP%\_mei7762\crypto\hash\_ghash_clmul.pyd
<Текущая директория>\mkatz.ini

Сетевая активность

Подключается к

'js##ip.com':443

TCP

Запросы HTTP GET

http://ip.#2.pl/raw
http://js##ip.com/

UDP

DNS ASK in##.amynx.com
DNS ASK in##.ackng.com
DNS ASK ip.#2.pl
DNS ASK js##ip.com
DNS ASK in##.zz3r0.com

Другое

Создает и запускает на исполнение

'<SYSTEM32>\windowspowershell\v1.0\powershell.exe' -exec bypass "import-module <Текущая директория>\m2.ps1"
'%WINDIR%\syswow64\cmd.exe' /c ipconfig /all' (со скрытым окном)

Запускает на исполнение

'%WINDIR%\syswow64\cmd.exe' /c wmic ntdomain get domainname
'%WINDIR%\syswow64\wbem\wmic.exe' ntdomain get domainname
'%WINDIR%\syswow64\cmd.exe' /c net localgroup administrators
'%WINDIR%\syswow64\net.exe' localgroup administrators
'%WINDIR%\syswow64\net1.exe' localgroup administrators
'%WINDIR%\syswow64\cmd.exe' /c net user administrator ""&echo a >C:/windows/temp/admin.txt
'%WINDIR%\syswow64\cmd.exe' /c net group "domain admins" /domain
'%WINDIR%\syswow64\net.exe' user administrator ""
'%WINDIR%\syswow64\net.exe' group "domain admins" /domain
'%WINDIR%\syswow64\net1.exe' user administrator ""
'%WINDIR%\syswow64\net1.exe' group "domain admins" /domain
'%WINDIR%\syswow64\cmd.exe' /c ipconfig /all
'%WINDIR%\syswow64\ipconfig.exe' /all
'%WINDIR%\syswow64\netstat.exe' -na