Petya 内网传播分析

一、获取需扫描的IP地址

Alt text
  依次获取当前活动连接对应IP地址、ARP缓存中存有的IP地址,以及枚举内网服务器IP。

二、获取本地密码

  Dll文件中自带融合了mimikatz功能的资源,在运行过程中,会释放出解密后的资源,对比mimikatz与解密后的资源文件如下:

Alt text
  Mimikatz可以获取登陆过的账号密码,甚至域管理员账户信息。拿到域管理员账户信息后,即可以完成后续写文件、远程命令执行等操作。

三、将自身复制到内网其他机器的admin$共享目录