云网端联动-手撕"紫狐"木马

1、木马介绍

“紫狐”木马最早出现于2018年3月，通过游戏外挂、第三方安装程序捆绑传播，该

木马如同其名字一样具有狐狸般的狡猾，应用了极强的反检查能力，除了功能DLL文件加强壳外，还会通过加载驱动的方式进行隐藏，并且利用PendingFileRenameOperations实现延时删除，注入系统的进程以躲避检测。

2、事件排查处置过程

  1、通过合作伙伴运营平台发现现客户出现多台失陷主机，通过登录防火墙发现失陷主机标签为僵尸网络purplefox（紫狐木马）。

    2、主机对外解析恶意域名ret.6bc.us，通过微步查询此域名标记为恶意紫狐木马。

    3、通过防火墙联动EDR查杀未发现威胁文件。

4、在EDR上分析日志发现次终端在全网其他终端进行445暴力破解，进行横向渗透，终端用户也反映近期电脑卡慢比较严重。

5、在终端命令提示行输入fltmc查找恶意驱动发现dump_luafv(dump_后边是随机字符)。

6、利用tdsskiller专杀工具查杀隐藏的dll文件，文件路径在c:\windows\system32\Ms随机字符App.dl

7、查看启动项、计划任务等未发现异常，重启电脑重新扫描未发现异常，客户体验明显提升，无卡慢问题，观察防火墙安全日志无最新外联请求。

云网端联动66666

多谢楼主分享木马的处理方法，有助于工作。

感谢分享有助于工资和学习！

多谢楼主分享的处理方案，学习了。

感谢分享有助于工资和学习！

每天坚持打卡学习！！

楼主的文章图文并茂，清晰易懂

多谢分享