Abuse Melding

Je hebt een klacht over de onderstaande posting:

28-06-2017, 10:38 door Bitwiper

Tevens wordt er een soort Mimikatz-achtige tool gebruikt voor het stelen van inloggegevens uit het lsass.exe-proces. Deze gestolen inloggegevens worden vervolgens door de PsExec-tool of WMIC gebruikt om de ransomware binnen een netwerk te verspreiden. In het plaatje in https://twitter.com/0x09AL/status/879703568042909696 is de output van het "strings" tooltje (zoals o.a. gemaakt door Mark Russinovich) te zien. Er staat wat rommel tussen, maar de relevante commando's (type printf, bijv. voor %s wordt nog een karakterreeks ingevuld) lijken te zijn: dllhost.dat \\%s -accepteula -s -d C:\Windows\System32\rundll32.exe "C:\Windows\%s" (dllhost.dat is dus psexec.exe) en (het volgende is 1 lange regel, maar klapt om op deze site) wbem\wmic.exe %s /node:"%ws" /user:"%ws" /password:"%ws" process call create "C:\Windows\System32\rundll32.exe \"C:\Windows\%s\" Hoe kunnen organisaties zich tegen de aanval beschermen? MS17-010 installeren volstaat niet om je tegen deze malware (of andere Mimikatz/PtH malware) te ...

Beschrijf je klacht (Optioneel):

captcha