다중 라이센스 할인 견적

지역 변경

English Dansk Deutsch Español Français Italiano Nederlands Polski Português Svenska Türkçe Русский हिन्दी 汉语 漢語 한국어
위협 데이터베이스 멀웨어 미미 카츠

미미 카츠

멀웨어년에 GoldSparrow 년까지
번역 :

Mimikatz 또는 Hacktool. Mimikatz는 Windows 운영 체제에서 결정된 기능을 손상시켜 공격자에게 시스템에 대한 액세스 권한을 부여 할 수 있지만 고위험 도구로 분류되지 않습니다. 컴퓨터가 Mimikatz의 공격을 받으면 컨트롤러는 DLL을 임의의 프로세스에 주입하고, 보안 인증서를 내보내고, Windows에서 일반 텍스트 암호를 복구하고, 특정 로그인 및 보안 서비스를 비활성화하고, 일부 권한을 지우고, 몇 가지 그룹 정책 설정을 회피 할 수 있습니다.

Mimikatz가 컴퓨터를 감염시킬 수 있다고 의심되는 경우 쉽게 확인할 수있는 방법이 있습니다. 전용 스캐너를 사용하면 Mimikatz를 감지하고 제거 할 수 있습니다. 그러나 감염되지 않았고 감염을 피하기위한 조치를 취하려는 경우 알 수없는 발신자가 보낸 이메일의 출처 및 신뢰성 확인, 파일 공유시주의, 공유 금지 등 구현할 수있는 몇 가지 전략이 있습니다. 더 심각한 위협에 감염되는 것을 포함하여 수많은 문제를 예방할 수있는 인스턴트 메신저에 대한 많은 정보.

분석 보고서

일반 정보

Family Name: Trojan.Mimikatz
Signature status: No Signature

Known Samples

MD5: 11ecb568da9cd1ff8d060914e85ff4bf
SHA1: 8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4
SHA256: B2F9055DFD172B1C11BA01C121D3C37F27B3E48827D4562659796F8D4DFD4DF6
파일 크기: 1.19 MB, 1185280 bytes
MD5: 252525c8d6539a3aa97123afc2ddc687
SHA1: 1bf04ed6dc09a32a7861263e4fa24770681d1b4a
SHA256: 6E38131457328C9A93FF10DC0209718E4EFCA909621773301B52E83DBD1469A6
파일 크기: 235.52 KB, 235520 bytes
MD5: fe7c1fb2fc8b5e2f49267f3cee6f8a26
SHA1: 3b1711ba13b32df8d3d84c48a7e8862faaa0975d
SHA256: A14E0BFE9ED712E717EA063AA0D17CC7C5A74866B09CD6B460A795981DBB5EDF
파일 크기: 2.67 MB, 2667008 bytes
MD5: 4cfb8825872b3c4cf3cc550bb4d5410f
SHA1: 0fe546d8c715cab95faeb7710f49e2864b049bf6
SHA256: 80956CF050F27640093FD18D4906215E95DFBB3BAFE44E994B6A0FC825A725FB
파일 크기: 1.97 MB, 1969572 bytes

Windows Portable Executable Attributes

  • File doesn't have "Rich" header
  • File doesn't have debug information
  • File doesn't have exports table
  • File doesn't have resources
  • File doesn't have security information
  • File has exports table
  • File has TLS information
  • File is .NET application
  • File is 32-bit executable
  • File is 64-bit executable
Show More
  • File is console application (IMAGE_SUBSYSTEM_WINDOWS_CUI)
  • File is either console or GUI application
  • File is GUI application (IMAGE_SUBSYSTEM_WINDOWS_GUI)
  • File is Native application (NOT .NET application)
  • File is not packed
  • IMAGE_FILE_DLL is not set inside PE header (Executable)
  • IMAGE_FILE_EXECUTABLE_IMAGE is set inside PE header (Executable Image)

File Icons

Windows PE Version Information

이름
Assembly Version 1.0.0.0
File Description SharpKatz
File Version 1.0.0.0
Internal Name SharpKatz.exe
Legal Copyright Copyright © 2020
Original Filename SharpKatz.exe
Product Name SharpKatz
Product Version 1.0.0.0

File Traits

  • .NET
  • Agile.net
  • CreateThread
  • CryptUnprotectData
  • dll
  • Fody
  • HighEntropy
  • No Version Info
  • ntdll
  • VirtualQueryEx
Show More
  • WriteProcessMemory
  • x64
  • x86

Block Information

Similar Families

  • MSIL.SharpKatz.B
  • MSIL.SharpKatz.E

Files Modified

File Attributes
c:\tempz\security Generic Write
c:\tempz\system Generic Write
c:\users\user\downloads\__tmp_rar_sfx_access_check_6681109 Generic Read,Write Data,Write Attributes,Write extended,Append data
c:\users\user\downloads\wmi Generic Write,Read Attributes
c:\users\user\downloads\wmi Synchronize,Write Attributes
c:\users\user\downloads\wmi\1.run.bat Generic Write,Read Attributes
c:\users\user\downloads\wmi\1.run.bat Synchronize,Write Attributes
c:\users\user\downloads\wmi\2.del.bat Generic Write,Read Attributes
c:\users\user\downloads\wmi\2.del.bat Synchronize,Write Attributes
c:\users\user\downloads\wmi\mimi.bat Generic Write,Read Attributes
Show More
c:\users\user\downloads\wmi\mimi.bat Synchronize,Write Attributes
c:\users\user\downloads\wmi\miparser.vbs Generic Write,Read Attributes
c:\users\user\downloads\wmi\miparser.vbs Synchronize,Write Attributes
c:\users\user\downloads\wmi\p Generic Write,Read Attributes
c:\users\user\downloads\wmi\p Synchronize,Write Attributes
c:\users\user\downloads\wmi\p\p.exe Generic Write,Read Attributes
c:\users\user\downloads\wmi\p\p.exe Synchronize,Write Attributes
c:\users\user\downloads\wmi\p\p64.exe Generic Write,Read Attributes
c:\users\user\downloads\wmi\p\p64.exe Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32 Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32 Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimidrv.sys Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimidrv.sys Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimikatz.exe Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimikatz.exe Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimilib.dll Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimilib.dll Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimilove.exe Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimilove.exe Synchronize,Write Attributes
c:\users\user\downloads\wmi\win32\mimispool.dll Generic Write,Read Attributes
c:\users\user\downloads\wmi\win32\mimispool.dll Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64 Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64 Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimidrv.sys Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimidrv.sys Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimikatz.exe Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimikatz.exe Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimilib.dll Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimilib.dll Synchronize,Write Attributes
c:\users\user\downloads\wmi\x64\mimispool.dll Generic Write,Read Attributes
c:\users\user\downloads\wmi\x64\mimispool.dll Synchronize,Write Attributes

Registry Modifications

Key::Value 데이터 API Name
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::proxybypass  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::intranetname  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::uncasintranet  RegNtPreCreateKey
HKCU\software\microsoft\windows\currentversion\internet settings\zonemap::autodetect RegNtPreCreateKey
HKLM\system\controlset001\services\bam\state\usersettings\s-1-5-21-3119368278-1123331430-659265220-1001::\device\harddiskvolume2\windows\system32\conhost.exe 纸ꨳ힇ǜ RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75 RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75 RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc3475 陊ȁ獖} RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75 RegNtPreCreateKey
HKLM\software\microsoft\windows nt\currentversion\notifications\data::418a073aa3bc1c75 RegNtPreCreateKey
Show More
HKCU\software\sysinternals\procdump::eulaaccepted  RegNtPreCreateKey

Windows API Usage

Category API
Syscall Use
  • ntdll.dll!NtAccessCheck
  • ntdll.dll!NtAdjustPrivilegesToken
  • ntdll.dll!NtAlertThreadByThreadId
  • ntdll.dll!NtAlpcConnectPortEx
  • ntdll.dll!NtAlpcQueryInformation
  • ntdll.dll!NtAlpcSendWaitReceivePort
  • ntdll.dll!NtApphelpCacheControl
  • ntdll.dll!NtAssociateWaitCompletionPacket
  • ntdll.dll!NtCancelTimer2
  • ntdll.dll!NtCancelWaitCompletionPacket
Show More
  • ntdll.dll!NtClearEvent
  • ntdll.dll!NtClose
  • ntdll.dll!NtCompareSigningLevels
  • ntdll.dll!NtConnectPort
  • ntdll.dll!NtCreateEvent
  • ntdll.dll!NtCreateFile
  • ntdll.dll!NtCreateIoCompletion
  • ntdll.dll!NtCreateMutant
  • ntdll.dll!NtCreatePrivateNamespace
  • ntdll.dll!NtCreateSection
  • ntdll.dll!NtCreateSemaphore
  • ntdll.dll!NtCreateThreadEx
  • ntdll.dll!NtCreateTimer2
  • ntdll.dll!NtCreateWaitCompletionPacket
  • ntdll.dll!NtCreateWorkerFactory
  • ntdll.dll!NtDeviceIoControlFile
  • ntdll.dll!NtDuplicateObject
  • ntdll.dll!NtDuplicateToken
  • ntdll.dll!NtEnumerateKey
  • ntdll.dll!NtEnumerateValueKey
  • ntdll.dll!NtFreeVirtualMemory
  • ntdll.dll!NtGetCachedSigningLevel
  • ntdll.dll!NtMapViewOfSection
  • ntdll.dll!NtNotifyChangeKey
  • ntdll.dll!NtOpenDirectoryObject
  • ntdll.dll!NtOpenEvent
  • ntdll.dll!NtOpenFile
  • ntdll.dll!NtOpenKey
  • ntdll.dll!NtOpenKeyEx
  • ntdll.dll!NtOpenMutant
  • ntdll.dll!NtOpenProcess
  • ntdll.dll!NtOpenProcessToken
  • ntdll.dll!NtOpenProcessTokenEx
  • ntdll.dll!NtOpenSection
  • ntdll.dll!NtOpenSemaphore
  • ntdll.dll!NtOpenThread
  • ntdll.dll!NtOpenThreadToken
  • ntdll.dll!NtOpenThreadTokenEx
  • ntdll.dll!NtProtectVirtualMemory
  • ntdll.dll!NtQueryAttributesFile
  • ntdll.dll!NtQueryDebugFilterState
  • ntdll.dll!NtQueryDefaultLocale
  • ntdll.dll!NtQueryDirectoryFileEx
  • ntdll.dll!NtQueryFullAttributesFile
  • ntdll.dll!NtQueryInformationFile
  • ntdll.dll!NtQueryInformationJobObject
  • ntdll.dll!NtQueryInformationProcess
  • ntdll.dll!NtQueryInformationThread
  • ntdll.dll!NtQueryInformationToken
  • ntdll.dll!NtQueryKey
  • ntdll.dll!NtQueryLicenseValue
  • ntdll.dll!NtQueryPerformanceCounter
  • ntdll.dll!NtQuerySecurityAttributesToken
  • ntdll.dll!NtQuerySecurityObject
  • ntdll.dll!NtQuerySystemInformation
  • ntdll.dll!NtQuerySystemInformationEx
  • ntdll.dll!NtQueryValueKey
  • ntdll.dll!NtQueryVirtualMemory
  • ntdll.dll!NtQueryVolumeInformationFile
  • ntdll.dll!NtQueryWnfStateData
  • ntdll.dll!NtReadFile
  • ntdll.dll!NtReadRequestData
  • ntdll.dll!NtReleaseMutant
  • ntdll.dll!NtReleaseSemaphore
  • ntdll.dll!NtReleaseWorkerFactoryWorker
  • ntdll.dll!NtRemoveIoCompletionEx
  • ntdll.dll!NtRequestWaitReplyPort
  • ntdll.dll!NtResumeThread
  • ntdll.dll!NtSetEvent
  • ntdll.dll!NtSetInformationFile
  • ntdll.dll!NtSetInformationKey
  • ntdll.dll!NtSetInformationProcess
  • ntdll.dll!NtSetInformationThread
  • ntdll.dll!NtSetInformationVirtualMemory
  • ntdll.dll!NtSetInformationWorkerFactory
  • ntdll.dll!NtSetIoCompletion
  • ntdll.dll!NtSetTimer2
  • ntdll.dll!NtSubscribeWnfStateChange
  • ntdll.dll!NtTestAlert
  • ntdll.dll!NtTraceControl
  • ntdll.dll!NtUnmapViewOfSection
  • ntdll.dll!NtUnmapViewOfSectionEx
  • ntdll.dll!NtUnsubscribeWnfStateChange
  • ntdll.dll!NtWaitForAlertByThreadId
  • ntdll.dll!NtWaitForMultipleObjects
  • ntdll.dll!NtWaitForSingleObject
  • ntdll.dll!NtWaitForWorkViaWorkerFactory
  • ntdll.dll!NtWaitLowEventPair
  • ntdll.dll!NtWorkerFactoryWorkerReady
  • ntdll.dll!NtWriteFile

4 additional items are not displayed above.

Process Shell Execute
  • CreateProcess
  • ShellExecuteEx
  • WriteConsole
Anti Debug
  • IsDebuggerPresent
  • NtQuerySystemInformation
User Data Access
  • GetComputerNameEx
  • GetUserDefaultLocaleName
  • GetUserObjectInformation
Other Suspicious
  • AdjustTokenPrivileges
Process Manipulation Evasion
  • NtUnmapViewOfSection
  • ReadProcessMemory
Keyboard Access
  • GetKeyState
Process Terminate
  • TerminateProcess

Shell Command Execution

C:\WINDOWS\SysWOW64\rundll32.exe C:\WINDOWS\system32\rundll32.exe c:\users\user\downloads\8965c2c8f55c5fe1a80b7fac7001bd5eb83304a4_0001185280.,LiQMAxHB
(NULL) c:\users\user\downloads\wmi\1.run.bat
WriteConsole: [*] Creating out
WriteConsole: 'LSASS' is not r
C:\WINDOWS\system32\mode.com mode con: cols=75 lines=25
Show More
WriteConsole: Access is denied
WriteConsole: [*] Saving SYSTE
C:\WINDOWS\system32\reg.exe reg save HKLM\SYSTEM "C:\tempz\SYSTEM" /y
WriteConsole: [*] Saving SAM h
C:\WINDOWS\system32\reg.exe reg save HKLM\SAM "C:\tempz\SAM" /y
WriteConsole: [*] Saving SECUR
C:\WINDOWS\system32\reg.exe reg save HKLM\SECURITY "C:\tempz\SECURITY" /y
WriteConsole: [*] Dumping LSAS
C:\Users\user\downloads\wmi\P\p.exe "C:\Users\user\downloads\wmi\P\p.exe" -accepteula -ma lsass.exe "C:\tempz\lsass.dmp"
WriteConsole: [+] lsass.dmp sa
WriteConsole:
WriteConsole: [+] Extraction c
WriteConsole: Press any key to

트렌드

Orionnero.co.in

불량 웹사이트, 애드웨어, 브라우저 하이재커
웹 서핑 시 주의를 기울이는 것은 더 이상 선택 사항이 아니라 필수 사항입니다. 악성 웹사이트는 점점 더 정교해지고 있으며, 사용자를 속여 보안을 위협하는 기만적인 수법을 사용하는 경우가 많습니다. 가장 흔한 수법 중 하나는 방문자에게 '허용' 버튼을 클릭하도록 유도하는 가짜 CAPTCHA 인증 절차입니다. 무해한 인증처럼 보이는 이 작업은 실제로는...

Pocamish.com

불량 웹사이트, 애드웨어, 브라우저 하이재커
오늘날 위협으로 가득 찬 디지털 환경에서 웹 서핑을 할 때는 각별한 주의를 기울이는 것이 필수적입니다. 악성 웹사이트는 사용자를 속여 권한을 부여하거나 유해 콘텐츠에 참여하도록 유도하는 기만적인 수법을 자주 사용합니다. 대표적인 수법으로는 로봇이 아님을 확인하는 것처럼 위장한 가짜 CAPTCHA 인증을 통해 '허용' 버튼을 클릭하도록 유도하는 것이...

Glamconnectnetwork.com

불량 웹사이트, 애드웨어
사이버 보안 전문가들은 Glamconnectnetwork.com을 신뢰할 수 없고 사기성 웹사이트로 지목했습니다. 이 사이트는 어떠한 합법적인 회사, 기관 또는 공인된 보안 단체와도 관련이 없습니다. 신뢰할 수 있는 사이트처럼 보이지만, 이 사이트는 의심하지 않는 사용자들을 속이기 위한 기만적인 수법을 사용합니다. 진정한 서비스나 보호를 제공하기보다는...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
32,779
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
28,186
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...

Fuq.com

사기성 안티스파이웨어 프로그램, 맥 맬웨어
21,206
Fuq.com은 포르노 콘텐츠가 포함된 웹사이트를 홍보하는 애드웨어 유형의 프로그램입니다. 이 잠재적으로 원하지 않는 프로그램(PUP)의 광고 캠페인은 매우 공격적입니다. 그들은 감염된 장치에 관련 광고, 배너 또는 비디오를 표시하여 피해자가 프로모션 페이지의 의심스러운 성인 콘텐츠를 보도록 강요합니다. Fuq.com은 또한 Mac 장치에 영향을...
로드 중...