火影忍者 发表于 2024-9-26 09:33
  
感谢分享,学习一下~
#原创分享#记一次内网高危事件处理流程分享
  

青岛彭于晏 136766人觉得有帮助

{{ttag.title}}
“当前已有100+用户参与投稿,共计发放奖励100000+“




一、问题描述以及背景

  某年某月某日,用户通过态势感知发现大量已失陷终端,终端均为学生机房终端,失陷事件一致且终端均为还原模式,用户对此类大批量事件表示疑惑和担心内网安全问题,所以协助分析一下事件的原因。
      
二、分析步骤
  1、查看失陷主机详细信息,所处的攻击阶段以及事件的详细描述,收集一些有用的信息:
        
       1)通过图中可以明确看出此终端目前正处于CC通信阶段
       2)具体主机威胁事件访问了主机访问jomalone家族通信域名,正在试图与互联网的CC通信服务器建立连接
       3)可以查看到具体的CC通信的域名,但由于某些原因,并未解析到域名的IP地址。
       4)详细描述了此事件的原理以及处置方法,处置方法可参考态势感知给出的处置建议。
            
  2、已得知的CC通信域名,通过威胁情报库查询该域名是否存在恶意,情报库可用某公司(https://wiki.sec.sangfor.com.cn/analysis-platform)和微步在线(https://x.threatbook.cn/),个人会两个同时使用,一方面确认威胁的真实性,另一方面避免用户对查询结果产生质疑,一般态势感知能报威胁的域名,某公司的情报库都是存在恶意的。
        某公司情报中心截图:
         
        微步在线情报社区截图:
         
         某公司查询域名:
         
              
      通过某公司情报中心查询到该域名为恶意域名,包括相关的描述、处置方法以及相关的病毒样本。
         微步在线查询域名:
         
         
       通过微步在线情报社区并未展示出该域名存在恶意,查看关联的通讯样本,之间点击Hash值,可分析样本。
        
        
      样本分析结果显示该样本同样也会去访问该恶意域名,由此可见此域名并非安全域名。同时可比对某公司情报中心与微步在线情报社区的关联样本数据,可同时看到同一个hash值。  
      
      
3、手动访问域名查看(看能不能有些有用的信息,方便证明),访问tj.fame3.com后主页为商务统计系统,估计是用来统计推广数量获取收益的系统。系统进不去没啥用。
      
      某公司情报中心还给出了关联域名,也就是www.fame3.com,网站主页为装机网站。
      
4、刚好用户有购买的EDR,先用EDR全盘扫描一遍,果不其然,扫描除了众多激活工具,以为无功而返的时候,回过头查看微步样本程序的运行截图后,正正好与edr扫描出的程序对应,猜测此事件罪魁祸首为暴风激活工具。
      
      
5、查看日志,检索最早dns解析域名为tj.fame3.com的日志。
      
      
     日志显示为这个域名在整个网络首次请求解析时间为10月11日,以这个时间为起点,找到相关负责人询问对机房的操作,可惜时间较长该负责人已经不记得操作了什么。

6、一般学生机房电脑都是通过某种硬件或软件进行统一安装系统,激活系统,有些不使用原版ISO镜像安装系统,使用互联网上下载ghost安装,安装后系统里面存在啥东西只有ghost镜像作者知道。
     综上所述,操作系统,整个学生机房,全部报该事件已失陷。罪魁祸首为暴风激活工具无疑,果断进行查杀,态势感知进行标记已处置。
     后观察两天,未再次出现该事件发生,尝试恢复该文件,一天内依然会报终端失陷,事件仍未此事件。至此分析结束。
三、解决方法
1、使用EDR进行查杀,隔离相关病毒程序。
2、告知相关负责人,处置方法以及对后期的预防。
四、总结建议
1、系统安装尽量还是以官方ISO镜像安装为主。
2、激活工具能不用则不用,激活工具一般多多少少都会有一些问题,不用好像也不现实,算了,还是用吧,尽量找一些风险相对较小的使用。
3、网络上下载软件,寻找大网站下载,避免软件捆绑,终端出现别的威胁程序,看见告诉下载一定不要点击下载安装,否则你的电脑将会从飞机变成拖垃圾,电脑莫名出现一堆捆绑垃圾软件。

打赏鼓励作者,期待更多好文!

打赏
49人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
标准化排查
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
以战代练
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

7
20
6

发帖

粉丝

关注

本版达人

ggbang

本周建议达人

adds

本周提问达人