#每日一记#Wanna mine 4.0处理
  

adds 21356人觉得有帮助

{{ttag.title}}
本帖最后由 adds 于 2022-1-15 20:27 编辑

      今天是2022年1月12日,2022年写的第一篇帖子。有时间能水一篇帖子真是件让人幸福的事啊。  就是想写,不,码几个字给自己看看。    

    9718461dec7b82b3fa.png

   一、wanna mine 4.0
   这个虚拟机躺在我的电脑硬盘有两年了,Nitol是一起拷过来的,是19年,上一次打开是21的3月。
   我的天,
   1363761dec8df89aae.png
    竟然不是两年,而是快三年了。忘了现在是22年了。
    5132861dec868c1e3f.png

    二、一切都是幻觉?
    打开我的wanna mine 4.0虚拟机。
    一切静悄悄的。
    8497861dec93d48a56.png
  
   CPU正常、内存正常。

   打开process hacker。连可疑流量外发都没有。
    2027861dec95834bca.png

   长时间没有运行系统,把病毒饿死了?
    8344661decaba318ad.jpg
   

   三、自己投毒
    1、解压我的病毒文件
     然后拖到虚拟机里。
      7205561dec9ede2f20.png

     “test_exe”重命名为“test_exe.exe”。运行后大概半分钟后,text.exe将会进行自删除。
    3260861deca0603e27.png

    2、观察Process Hacker,发现有大批量扫描内网445端口的行为
    9370861deca1a32483.png

    3、定位病毒
    通过上面红通通的图片,我们知道了病毒进程是svchost.exe进程。
    769361decadd86250.png

    这是个父进程,父进程下有两个子进程,分别为dllhostex.exe、svchost.exe。
先分析第一个dllhostex.exe。

  打开文件所在文件夹,计算其文件MD5值。

    470961decaf932098.png

    MD5值发送到X.threatbook.cn校验,显示是恶意网址。
   8654261decb0e183a0.png

    再换个www.virustotal.com校验,同样显示为恶意网址。
    5728761decb2074ba9.png

      使用深信服的sec.sangfor.com.cn上校验一下。
    4019161decb38f33e3.png

     将文件拷贝到有安装杀毒软件的系统,文件在拷贝过程中直接报毒,系统自动处理了。

    3393361decb48bd177.png    

    4、处理
    按照正常的处理步骤,结束进程,删文件。如果直接删除文件会报文件被系统占用,直接报错。
   但是在结束进程、删除文件后,发现过了30秒左右,进程文件又自动运行,原来删除的文件又恢复了。
      说明该进程开启了进程守护,即我结束该结束,父进程会再重新拉起该进程。
      我们需要先定位到该进程的DLL文件,将其启动项删除,再结束父子进程,删除文件。
      找到父进程。

       356361decb795a4cb.png

         使用pchunter定位该进程。

       738161decb890b6b8.png

       查看该进程的模块,分析其文件签名,找到有问题的DLL。

    4518161decb99aca5d.png

      定位到问题项,这次一共定位到两项:
    一项一项去验证,api-ms-win-core-synch-l1-2-0.dll在threatbook和virustotal境外没有报,而ApplicationRPCClient.dll则全报。
     第三方网站验证
     微步:
      697161decba9ededa.png

       virustotal:
    2678761decbb80afbb.png

      云沙箱析结果:
    3822161decbc46a57d.png

      这里注明下,云沙箱结果处理好慢,virustotal和threatbook第二个结果都出来了,云沙箱还在跑第一个文件。

     在将其拷贝到另一个系统的过程中,直接被火绒查杀,可以确认有问题。

    445861decc0fdd0bb.png

       删除applcationRPCClient.dll其启动项:
      2837861decc20d160a.png

      结束掉进程,dllhostex.exe、svchost.exe:
     两个进程必须一起结束。
    352761decc2ebf78b.png

    最后删除进程创建的文件夹NetworkDistribution和dllhostex.exe文件:
    9315161decc3d1ed9c.png

  四、干唠
  1、客户的话要辩证的听,你听的方法正确就能帮助你快速排查问题,你听的方法错误就能把自己带沟里。
     有一工程师去上架一台VPN,配置好了发现,发布的OA资源用户端总是跳转不过去,后来发现问题是VPN到OA服务器不通,但配置电脑能跟OA服务器通信,然后就一起起怎么解决VPN到OA服务器之间不通的问题。客户说,你的VPN只要能跟这个OA服务器的地址能信就OK啦。
     第一天,没搞通。回去反馈给公司,公司给的建议是:配置电脑的IP与VPN地址互换;排查VPN与OA服务器之间的问题。
     第二天,又没搞通。回去反馈给公司:电脑的IP与VPN地址互通后,VPN的依旧不通;联系400搞通后,发现也接入VPN也访问不到OA。
      第三天,再次沟通后才发现,之前认为的OA地址是配置地防火墙上的映射地址,不是真实的OA服务器地址。

   2、电脑开机,让他正常开完机好吗?别总在开机过程中瞎点。
    6602061ded24b0a824.png

    2847161ded25baae27.png

   1个月内两起了,客户就反馈电脑不能用了,自己开完机就这样了,啥也没动?
    1115561ded371e8c86.png

   关键,所有的当事者都言之凿凿的表示,我就开了个机,啥也没动?
   难道是电脑自己动的,我信你个鬼啊?

   3、最惨的电脑
    2038361ded5fa43e3a.png
   知道这台电脑怎么开机吗?黄线和白线的铜线搭一起5S就开机了。

    8594961ded62e2467b.png
   这一台,按着箭头指的小黑点长按5s开机。

   处理这个系统还原的问题花了一天,恢复系统、找文件、装驱动2小时,安装中国建设银行的驱动装了1天,搞的400的客服都着急了,压力多大。
   心疼一秒钟。

打赏鼓励作者,期待更多好文!

打赏
32人已打赏

jan 发表于 2022-1-16 09:31
  
楼主的文章图文并茂,清晰易懂,看完这波操作可以轻松上手了,如遇到问题再向楼主请教~
阿勒泰 发表于 2022-1-29 09:44
  
感谢分享,有助于工作,学习了!!!
花开荼靡_ 发表于 2022-1-29 14:05
  
水之蓝色 发表于 2022-1-29 23:45
  
感谢楼主的精彩分享,有助工作!!!
花开荼靡_ 发表于 2022-2-9 11:22
  
开心就浪 发表于 2022-2-13 09:05
  

感谢分享,学习了!!!!!!!
新手078326 发表于 2022-2-13 12:38
  
感谢楼主的精彩分享,有助工作!!!
新手517842 发表于 2022-2-13 12:47
  
感谢楼主的精彩分享,有助工作!!!
卢美美 发表于 2022-2-16 10:38
  
感谢分享,感谢分享。
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
新版本体验
信服课堂视频
标准化排查
产品连连看
安装部署配置
功能体验
自助服务平台操作指引
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
社区帮助指南
技术晨报
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人