【网络警告】一次被防火墙拦截的挖矿病毒应急处置经历
  

sangfor_闪电回_小六 16444

{{ttag.title}}
前言

在应急响应的过程中,客户反馈某公司防火墙AF 报告客户服务器僵尸网络警告,服务器试图解析恶意域名msupdate.info。于是客户使用360,火绒剑等杀毒软件均没有发现异常现象。于是求助我,遂有此文章。

病毒virustotal.com的报告,可以看到很多国内厂商依然无法检出:


SHA256: c765ba5eedcd87b6f98eb503df640f5a8b077d3a30f02c6019feec1b5a553981

文件名: cspsvc.exe

https://www.virustotal.com/zh-cn/file/c765ba5eedcd87b6f98eb503df640f5a8b077d3a30f02c6019feec1b5a553981/analysis/


0×00 day1

接到应急,远程登录一把梭,netstat -ano 查看异常外连,由于病毒发起的外连已经被某公司防火墙AF所拦截,重点关注SYN_SENT和TIME_OUT,经过排查。并未发现异常外连,于是通过process hacker 查看异常进程。然而也没有发现异常进程,也没有挖矿进程占用大量的cpu资源。于是排查一度陷入江局。

这时候束手无策的我只能上微软闭环工具sysmon 对系统进行监控。观察病毒的一举一动。

sysmon需要安装使用:


sysmon.exe-accepteulai -n

0×01 day2 收获日

昨天种下一颗种子,今天就是收获日啦。

某公司防火墙AF依然在报僵尸网络,不过已经拒绝了:

查看sysmon日志,根据某公司下一代防火墙AF报僵尸网络的时间果然找到可疑的点。

可以看到服务拉起了一个可疑文件。

接着排查发现它拉起一个可疑powershell脚本,以服务的方式启动。

接着这个ps脚本执行。

这个脚本还利用注册表生成了一个用户名为adm:

至此,我们已经找出了挖矿程序。查看ps脚本就可以看到他的钱包地址:

0×02 分析

首先看cspsvc.exe文件:

cspsvc.exe 是启动程序用于加载ps脚本程序。

ps脚本是一个内容丰富的木马也是主要的程序:

可以看到脚本提供了丰富的命令行参数,我们之前看到的就是SCMStart。

接下来使用:


$argv0 = Get-Item $MyInvocation.MyCommand.Definition

获取了命令行参数执行相关操作:

程序获取了登录名,默认启动setup:

setup里面包含了编译了一个c#文件的功能:


$exeName = "$serviceName.exe"

$exeFullName = "$installDir\$exeName"


可知编译的文件就是我们发现的cspsvc.exe

接着就从C:\Windows \fonts\arial\config.xml或者C:\Windows\SoftwareDistribution\config.xml 读取配置文件,不存在就新建了一个fonts\arial\ 目录:

写入配置后并拷贝一份:

继续往下看发现了主要执行的Service:

发现执行了一处加密内容。

加密内容为一个新的powershell脚本。可以看到它新建了一个adm的用户。密码是从之前的配置文件中读取的密码:

从域名msupdate.info通过 网络下载矿机:

接着释放又释放了一个加密的ps脚本:

结合通过autoruns发现计划任务GpCheck.ps1计划任务,和下面的写操作可以发现该脚本写入位于system32\drivers\en-US\GpCheck.ps1 的该文件:

0×03 清理病毒

停止服务Cryptographic Service Providers

删除计划任务 GpCheck

删除C:\Windows\System32\drivers 目录下cspsvc.exe、 cspsvc.ps1、cspsvc.pdb 文件

删除 注册表项cspsvc



删除C:\Windows\SoftwareDistribution\config.xml

删除 adm用户

删除C:\Windows\Fonts\arial

删除 C:\Windows\Fonts\Logs

删除 C:\Windows\Fonts\temp

删除 C:Windows\system32\drivers\en-US\GpCheck.ps1

删除 C:Windows\system32\drivers\ WmiPrvSE.ps1


0×04 后记

此次由于防火墙的存在成功阻挡了恶意程序下载挖矿程序进行挖矿。并及时警报客户,使得客户业务没有受到影响。

对于此木马的分析只是浅显的分析了下,主要是想某公司这种没有执行成功的挖矿病毒如何排查的经验。希望能够抛砖引玉。

(文章来源:FreeBuf ,感谢原作者)
声明:该文版权归原作者所有,某公司社区仅传播信息为目的,侵权立删。


打赏鼓励作者,期待更多好文!

打赏
18人已打赏

vito 发表于 2018-12-26 08:38
  
感谢分享,厉害啊,这个分析找到木马的过程,真是惊心动魄。
友谊之门 发表于 2018-12-26 12:46
  
下一代防火墙的这个技能不错
友谊之门 发表于 2018-12-26 12:46
  
我也试试。。。
法律框架 发表于 2018-12-27 08:25
  

感谢分享
金卡戴珊 发表于 2018-12-27 08:30
  

感谢分享
金卡戴珊 发表于 2018-12-27 08:32
  

感谢分享
玖零网络 发表于 2018-12-27 09:12
  
感谢分享
Kobeqiu 发表于 2018-12-27 11:34
  
感谢分享
哥丶珍藏版 发表于 2018-12-28 16:09
  
厉害了某公司
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
干货满满
技术笔记
新版本体验
产品连连看
秒懂零信任
技术咨询
自助服务平台操作指引
技术晨报
2023技术争霸赛专题
GIF动图学习
通用技术
安装部署配置
标准化排查
社区帮助指南
功能体验
齐鲁TV
畅聊IT
安全攻防
问题分析处理
排障笔记本
深信服技术支持平台
天逸直播
答题自测
流量管理
功能咨询
卧龙计划
信服课堂视频
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
每日一记
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
华北区交付直播

本版版主

396
134
63

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人