“当前已有100+用户参与投稿,共计发放奖励100000+“
一、问题描述以及背景
某年某月某日,用户通过态势感知发现大量已失陷终端,终端均为学生机房终端,失陷事件一致且终端均为还原模式,用户对此类大批量事件表示疑惑和担心内网安全问题,所以协助分析一下事件的原因。 二、分析步骤 1、查看失陷主机详细信息,所处的攻击阶段以及事件的详细描述,收集一些有用的信息: 1)通过图中可以明确看出此终端目前正处于CC通信阶段 2)具体主机威胁事件访问了主机访问jomalone家族通信域名,正在试图与互联网的CC通信服务器建立连接 3)可以查看到具体的CC通信的域名,但由于某些原因,并未解析到域名的IP地址。 4)详细描述了此事件的原理以及处置方法,处置方法可参考态势感知给出的处置建议。 某公司情报中心截图: 微步在线情报社区截图: 某公司查询域名: 通过某公司情报中心查询到该域名为恶意域名,包括相关的描述、处置方法以及相关的病毒样本。 微步在线查询域名: 通过微步在线情报社区并未展示出该域名存在恶意,查看关联的通讯样本,之间点击Hash值,可分析样本。 样本分析结果显示该样本同样也会去访问该恶意域名,由此可见此域名并非安全域名。同时可比对某公司情报中心与微步在线情报社区的关联样本数据,可同时看到同一个hash值。 3、手动访问域名查看(看能不能有些有用的信息,方便证明),访问tj.fame3.com后主页为商务统计系统,估计是用来统计推广数量获取收益的系统。系统进不去没啥用。 4、刚好用户有购买的EDR,先用EDR全盘扫描一遍,果不其然,扫描除了众多激活工具,以为无功而返的时候,回过头查看微步样本程序的运行截图后,正正好与edr扫描出的程序对应,猜测此事件罪魁祸首为暴风激活工具。 5、查看日志,检索最早dns解析域名为tj.fame3.com的日志。 日志显示为这个域名在整个网络首次请求解析时间为10月11日,以这个时间为起点,找到相关负责人询问对机房的操作,可惜时间较长该负责人已经不记得操作了什么。
6、一般学生机房电脑都是通过某种硬件或软件进行统一安装系统,激活系统,有些不使用原版ISO镜像安装系统,使用互联网上下载ghost安装,安装后系统里面存在啥东西只有ghost镜像作者知道。 综上所述,操作系统,整个学生机房,全部报该事件已失陷。罪魁祸首为暴风激活工具无疑,果断进行查杀,态势感知进行标记已处置。 后观察两天,未再次出现该事件发生,尝试恢复该文件,一天内依然会报终端失陷,事件仍未此事件。至此分析结束。 三、解决方法 1、使用EDR进行查杀,隔离相关病毒程序。 2、告知相关负责人,处置方法以及对后期的预防。 四、总结建议 1、系统安装尽量还是以官方ISO镜像安装为主。 2、激活工具能不用则不用,激活工具一般多多少少都会有一些问题,不用好像也不现实,算了,还是用吧,尽量找一些风险相对较小的使用。 3、网络上下载软件,寻找大网站下载,避免软件捆绑,终端出现别的威胁程序,看见告诉下载一定不要点击下载安装,否则你的电脑将会从飞机变成拖垃圾,电脑莫名出现一堆捆绑垃圾软件。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2020-12-14 10:42
技术员2级 
