#原创分享#记一次内网高危事件处理流程分享
  

青岛彭于晏 83996人觉得有帮助

{{ttag.title}}
“当前已有100+用户参与投稿,共计发放奖励100000+“




一、问题描述以及背景

  某年某月某日,用户通过态势感知发现大量已失陷终端,终端均为学生机房终端,失陷事件一致且终端均为还原模式,用户对此类大批量事件表示疑惑和担心内网安全问题,所以协助分析一下事件的原因。
       230895fd4ce8dd0505.png
二、分析步骤
  1、查看失陷主机详细信息,所处的攻击阶段以及事件的详细描述,收集一些有用的信息:
         775685fd4d0aa2ca39.png
       1)通过图中可以明确看出此终端目前正处于CC通信阶段
       2)具体主机威胁事件访问了主机访问jomalone家族通信域名,正在试图与互联网的CC通信服务器建立连接
       3)可以查看到具体的CC通信的域名,但由于某些原因,并未解析到域名的IP地址。
       4)详细描述了此事件的原理以及处置方法,处置方法可参考态势感知给出的处置建议。
             460745fd4d1fbe09ae.png
  2、已得知的CC通信域名,通过威胁情报库查询该域名是否存在恶意,情报库可用某公司(https://wiki.sec.sangfor.com.cn/analysis-platform)和微步在线(https://x.threatbook.cn/),个人会两个同时使用,一方面确认威胁的真实性,另一方面避免用户对查询结果产生质疑,一般态势感知能报威胁的域名,某公司的情报库都是存在恶意的。
        某公司情报中心截图:
          620015fd4d440a4079.png
        微步在线情报社区截图:
          492375fd4d4550db90.png
         某公司查询域名:
          881685fd4d5e19e905.png
               934405fd4d6ba741c6.png
      通过某公司情报中心查询到该域名为恶意域名,包括相关的描述、处置方法以及相关的病毒样本。
         微步在线查询域名:
          241525fd4d6037ac27.png
          499245fd4d9600fd23.png
       通过微步在线情报社区并未展示出该域名存在恶意,查看关联的通讯样本,之间点击Hash值,可分析样本。
         887485fd4d9bca7464.png
         383025fd4d9de99a4d.png
      样本分析结果显示该样本同样也会去访问该恶意域名,由此可见此域名并非安全域名。同时可比对某公司情报中心与微步在线情报社区的关联样本数据,可同时看到同一个hash值。  
       523875fd4da823f35f.png
       894925fd4da987c4a1.png
3、手动访问域名查看(看能不能有些有用的信息,方便证明),访问tj.fame3.com后主页为商务统计系统,估计是用来统计推广数量获取收益的系统。系统进不去没啥用。
       313495fd4db482b300.png
      某公司情报中心还给出了关联域名,也就是www.fame3.com,网站主页为装机网站。
       632115fd4dc51b812b.png
4、刚好用户有购买的EDR,先用EDR全盘扫描一遍,果不其然,扫描除了众多激活工具,以为无功而返的时候,回过头查看微步样本程序的运行截图后,正正好与edr扫描出的程序对应,猜测此事件罪魁祸首为暴风激活工具。
       586655fd4df8235840.png
       696775fd4dfb9db3c3.png
5、查看日志,检索最早dns解析域名为tj.fame3.com的日志。
       614455fd4e2f028e38.png
       682525fd4e336ac4a5.png
     日志显示为这个域名在整个网络首次请求解析时间为10月11日,以这个时间为起点,找到相关负责人询问对机房的操作,可惜时间较长该负责人已经不记得操作了什么。

6、一般学生机房电脑都是通过某种硬件或软件进行统一安装系统,激活系统,有些不使用原版ISO镜像安装系统,使用互联网上下载ghost安装,安装后系统里面存在啥东西只有ghost镜像作者知道。
     综上所述,操作系统,整个学生机房,全部报该事件已失陷。罪魁祸首为暴风激活工具无疑,果断进行查杀,态势感知进行标记已处置。
     后观察两天,未再次出现该事件发生,尝试恢复该文件,一天内依然会报终端失陷,事件仍未此事件。至此分析结束。
三、解决方法
1、使用EDR进行查杀,隔离相关病毒程序。
2、告知相关负责人,处置方法以及对后期的预防。
四、总结建议
1、系统安装尽量还是以官方ISO镜像安装为主。
2、激活工具能不用则不用,激活工具一般多多少少都会有一些问题,不用好像也不现实,算了,还是用吧,尽量找一些风险相对较小的使用。
3、网络上下载软件,寻找大网站下载,避免软件捆绑,终端出现别的威胁程序,看见告诉下载一定不要点击下载安装,否则你的电脑将会从飞机变成拖垃圾,电脑莫名出现一堆捆绑垃圾软件。

打赏鼓励作者,期待更多好文!

打赏
49人已打赏

collid 发表于 2020-12-14 10:42
  
打卡学习
人生lyt 发表于 2020-12-14 14:29
  
学习学习
圣大天齐赵树良 发表于 2020-12-14 15:31
  
楼主分享的案例很实用,具有典型性,希望有更多这样的干货供我们学习参考,非常感谢!
一一氵 发表于 2020-12-14 16:35
  
感谢分享
新手33966 发表于 2020-12-14 16:58
  
感谢分享
梅凯悌 发表于 2020-12-14 18:12
  
简单实用!
guafeng00 发表于 2020-12-15 08:10
  
学习学习
新手148744 发表于 2020-12-15 10:06
  
一个完整的病毒处理流程。打卡学习
新手169910 发表于 2020-12-15 11:22
  
感谢大佬分享
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
每周精选
技术笔记
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

ggbang

本周建议达人

adds

本周提问达人