黑客用 KrebsOnSecurity 的名字命名恶意程序

编程技术  /  houtizong 发布于 3年前   154
非盈利组织 The Shadowserver Foundation 发现了 21,248 个 Exchange 电邮服务器被植入了一个后门,而与该后门程序通信的指令控制服务器域名叫 brian[.]krebsonsecurity[.]top。知名安全博客 KrebsOnSecurity 的作者 Brian Krebs 声明他与此无关。3 月 26 日 Shadowserver 注意到在入侵的 Exchange 服务器上安装新后门的尝试,后门都是安装在同一个地方 /owa/auth/babydraco.aspx。Shadowserver 的蜜罐观测到 Babydraco 后门总是执行相同的操作:运行一个 Powershell 脚本,从 159.65.136[.]128 地址上提取文件 krebsonsecurity.exe。该文件会安装 root 证书,修改系统注册表,通知 Windows Defender 不要扫描该文件。扫描显示有 21,248 台服务器被安装了 Babydraco 后门。Brian Krebs 称,黑客还在域名中包含了他的社会安全号码。

请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!

留言需要登陆哦

技术博客集 - 网站简介:
前后端技术:
后端基于Hyperf2.1框架开发,前端使用Bootstrap可视化布局系统生成

网站主要作用:
1.编程技术分享及讨论交流,内置聊天系统;
2.测试交流框架问题,比如:Hyperf、Laravel、TP、beego;
3.本站数据是基于大数据采集等爬虫技术为基础助力分享知识,如有侵权请发邮件到站长邮箱,站长会尽快处理;
4.站长邮箱:[email protected];

      订阅博客周刊 去订阅

文章归档

文章标签

友情链接

Auther ·HouTiZong
侯体宗的博客
© 2020 zongscan.com
版权所有ICP证 : 粤ICP备20027696号
PHP交流群 也可以扫右边的二维码
侯体宗的博客