真假失陷主机之Nitol

admin 2022年11月10日13:41:46安全文章评论4 views2684字阅读8分56秒阅读模式
点击蓝字
真假失陷主机之Nitol
关注我们

“巴陵无限酒,醉杀洞庭秋。”——李白

逮嘎猴~~~我是本期作者人,喜饮酒不是的广东人一枚。当然这期文章不是介绍我,而是给大家分享一次可以媲美 分辨真假美猴王” 的应急经历。

01 事情是这样的

2022年11月某日,气温骤降,天气格外寒冷。
我站在公司窗口,望着外面大沙河被雨淋起的阵阵波澜... ...默默叹了口气,眼看着这一年的鱼都要摸完了啊(痛心疾首)。然而我那黑色的BB机却不安分地响起来了。
“喂?安服仔起来干活啦!有个公司安全设备出现了Nitol僵尸网络告警,需要咱们给那边进行排查处置。你主动推进一下,搞好了马上成单,年终奖也有希望哇(≧◇≦)。”
(不禁让人浮想联翩啊。我承认被资本拿捏了 X:D)
收到客户的联系方式后,激动的我反手就是一个电话打给客户了解情况。然后就开始了一段标准的对话。
真假失陷主机之Nitol
果然又是TDP,然后就挂了电话

通过沟通,我了解到,客户在联系我们之前已经使用多款杀毒软件进行查杀均未发现病毒文件。由于该主机是线上核心业务机器,暂时无法停机重装,只能通过手工进行排查。

02 了解病毒背景

一会就看到客户发来的截图信息,通过图片可以看到IP地址(为了方便讲故事我们就假设为10.2.111.4)“10.2.111.4”请求一个“qq168168.3322.org”的域名。通过在微步的威胁情报社区查询,该IOC确实为Nitol僵尸网络
真假失陷主机之Nitol
通过关联的样本和网上的公开信息,了解了一下Nitol僵尸网络会使用lpk.dll劫持,在每个exe的目录创建lpk.dll文件,创建随机名称的服务,实现开机自启动。并且程序启动后会频繁请求恶意域名“qq168168.3322.org”。
真假失陷主机之Nitol
03 开始排查
向客户要了一下远程连接方式,有了这些信息我们就可以直接上机进行排查。
通过客户的远程方式接入查看计算机本地的DNS请求缓存信息,并未发现请求3322.org域名的记录,可能是DNS缓存没有记录上。
真假失陷主机之Nitol
算了,直接排查文件得了。
正常来说Nitol僵尸网络会在存在exe文件的目录下释放一个 lpk.dll 的文件,造成计算机上有很多的 lpk.dll 文件。但是通过Everything排查 ,没有发现异常的lpk文件。

真假失陷主机之Nitol

看来只能逼我抄起我的十八般武艺,进行了一顿操作后啥也没发现。
真假失陷主机之Nitol
(真的是18个工具)
只能通过 dnsquerysniffer 工具监控网络请求,发现确实有恶意域名的DNS流量信息。但是为啥没有木马文件存在,此刻陷入了沉思。。。
好一会没想明白,直接去找公司的大佬“乔峰扛着音响来了”请教。把大致的排查情况和他说了一下,顺便把 dnsquerysniffer 工具的截图发了过去,大佬说要我用wireshark抓包发给他。
真假失陷主机之Nitol
04 人生的顿悟
拥有多年经验的老司机果然不一样,直接甩了一张图片过来。让我感觉人生都开挂了,直接参透了程序运行的肌理。
真假失陷主机之Nitol
通过Wireshark看到了一些异常情况,注意那些翻涌着黑色气息的ICMP协议的数据包,他的包里面包含DNS查询后返回的内容。
经过同事一番指点后才知道:
当端用户向某个IP的udp 端口发送数据时,如果这个udp端口没有开放就会返回icmp 端口不可达的报文,这里面会返回原始的udp数据,所以可以看到原始的dns请求数据包;如果是tcp协议的话,其端口没有开放的话会返回tcp reset报文。
深入分析发现,本机没有3322域名请求包,DNS服务器返回的DNS相应包本机也没有办法接收.。
到这里开始猜想是不是这台主机根本没有感染病毒,是不是网络中其他机器导致的。
真假失陷主机之Nitol
测试将IP地址更换成其它IP地址,在重新ping之前的IP地址时神奇的一幕发生了,竟然还可以ping通。
到这里大概明白了可能是IP复用,有一台相同IP的机器发起了这个这个恶意域名的DNS请求,并且两台机器在一个网络里面,网络结果可能大概是这个样子。
真假失陷主机之Nitol
05 柳暗花明
客户通过对区域内的机器进行逐一排查,发现确实存在一台机器的IP地址相同。
通过 Everything 工具对这台机器进行排查发现了大量的 lpk.dll 的文件,植入时间大概是18年左右。
真假失陷主机之Nitol
通过威胁情报关联的样本进行分析还发现,该病毒还会通过注册表创建一个服务名为“Distribujfd”的服务,并且会在System32目录下释放一个随机名称的 exe 文件。
真假失陷主机之Nitol
通过注册表搜索“Distribujfd”,找到在注册表对应的位置。有了服务的名称和病毒文件的路径就好办多了。
真假失陷主机之Nitol
打开运行窗口熟练度输入“services.msc”敲下回车,它的真面目已经映入了我的眼帘。
看到状态为已启动,我对比了一下显示的名称和描述的文字,确定没问题然后按下了它“生命”的停止按钮。
刚刚还在翻涌的WireShark界面,瞬间安静了些许。我知道,它已经彻底向我“屈服”了。
真假失陷主机之Nitol
06 打完收工
经过之前的一番操作,至此木马基本已经停止运行了,因为是Windows 7系统所以我们不用考虑lpk.dll文件被劫持的问题。
打开注册表找到所有名字为“Distribujfd”的项,进行删除。并且删除掉对应的可执行病毒文件。
然后用管理员权限打开命令行,通过命令删除磁盘的所有lpk.dll文件。因为系统自带的lpk.dll文件权限用户为“TrustedInstaller”,所以不会被删除。
attrib -r -s -h /s /d c:lpk.dll & del /s /q c:lpk.dll
真假失陷主机之Nitol
使用Everything工具搜索是否还有未清理完成的文件,手动进行清理。并通知了管理员修改计算机的密码,做好加固。
真假失陷主机之Nitol
08 写在最后
本文是我遇到的一个真实场景,其中有多位师傅提供的思路和技术支持,在此抱拳感谢!
其实大部分已知的木马都有自己的特征,我们可以从威胁情报入手,快速地解决问题。当排查遇到瓶颈时需要对异常现象的原理进行理解,往下层进行排查原因。
本洞庭人知识与经验有限,说错的地方欢迎朋友们评论区与我 “碰杯” 交流。
Cheers~~~~~~~~~~

- END -

微步在线应急响应团队为企业客户提供应急响应服务。当企业遭遇突发重大安全事件(APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控等),微步在线可提供快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务,帮助企业信息系统在最短时间内恢复正常工作,将事件影响降到最低。
如果发生安全事件,可联系微步在线应急响应团队,联系方式:4000301051
真假失陷主机之Nitol
转发,点赞,在看,安排一下?


1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线应急响应团队”

原文始发于微信公众号(微步在线应急响应团队):真假失陷主机之Nitol

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月10日13:41:46
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  真假失陷主机之Nitol http://cn-sec.com/archives/1401409.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: