Petya 内网传播分析
一、获取需扫描的IP地址
依次获取当前活动连接对应IP地址、ARP缓存中存有的IP地址,以及枚举内网服务器IP。
二、获取本地密码
Dll文件中自带融合了mimikatz功能的资源,在运行过程中,会释放出解密后的资源,对比mimikatz与解密后的资源文件如下:
Mimikatz可以获取登陆过的账号密码,甚至域管理员账户信息。拿到域管理员账户信息后,即可以完成后续写文件、远程命令执行等操作。
依次获取当前活动连接对应IP地址、ARP缓存中存有的IP地址,以及枚举内网服务器IP。
Dll文件中自带融合了mimikatz功能的资源,在运行过程中,会释放出解密后的资源,对比mimikatz与解密后的资源文件如下:
Mimikatz可以获取登陆过的账号密码,甚至域管理员账户信息。拿到域管理员账户信息后,即可以完成后续写文件、远程命令执行等操作。