前一段时间写过一篇关于“银狐”病毒的警示,详情可看《近期“银狐”木马风靡一世,进来一起看看吧!》,这几天在某些重要政府单位,大型金融公司,银行单位等应急发现,新款“银狐”病毒再一次袭来,而这一次的病毒投放对象是单位高层领导以及销售人员。
通过上图我们分析一下,近期银狐系列的病毒投放主要是某些收费软件的破解版或者是破解脚本,这些往往是我们日常生活中想的软件但是又不想付昂贵的费用,这就导致了黑客有可乘之机,抓住我们想“白嫖”的行为,在不知不觉中了病毒,造成财产损失,机密资料泄露等不可控行为。
通过上图我们分析一下,该加载器运行之后,会生成一个随机命名的远控病毒exe文件和dat文件,紧接着就是固定的edge.xml和edg.jpg文件,这是一套文件,目的是便于黑客进行内网穿透,进行机密文件窃取,监控计算机操作行为等违法犯罪内容。
2.病毒文件
通过以上文件我们可以发现,远控病毒文件均被打上了银狐标签,在我们的公共下载的目录下(C:UsersPublicDownloads随机名文件夹随机名.exe)生成,生成之后会自动生成计划任务,在我们下次开机时自启,方便黑客知道“肉鸡电脑”已上线;有的样本文件还会进行进程迁移到原有进程,不易被发现。
恶意进程主要操作:1.读取终端服务相关秘钥;2.进行进程迁移;3.将自身文件熟悉隐藏;4.修改文件属性,保证恶意文件可执行,可读写;5.创建恶意文件目录;6.修改注册表,修改计划任务等。
3.恶意域/ip
根据获取到的恶意文件逆向分析,发现恶意域/ip如下,可在边界防火墙进行封禁处置,恶意IP通信端口为70007070。
1.163.197.241.1542.122.10.15.83.143.92.57.1214.www.wtkblq.com5.ding-03talk.oss-cn-hongkong.aliyuncs.com ##恶意文件下载域名
(1)使用edr、火绒、360等安全工具进行全盘查杀;
(2)对公共目录(C:UsersPublicDownloads)下的可疑文件进行删除;
有师傅咨询,应急如何能快速找到问题所在,其实我在每次处理应急情况时,都是按部就班的进行一项项分析才能找到原因答案,因为每一个人都有自己的一套方法流程,在每一次应急过程就是在完善自己应急方法的过程,不仅可以解决应急问题,还可以在实战中反思自己的方法是否可以进一步完善,所以不用惧怕,每一次都是成长。
|
免责声明:
本文章仅做网络安全技术研究使用!另利用网络安全007公众号所提供的所有信息进行违法犯罪或造成任何后果及损失,均由使用者自身承担负责,与网络安全007公众号无任何关系,也不为其负任何责任,请各位自重!公众号发表的一切文章如有侵权烦请私信联系告知,我们会立即删除并对您表达最诚挚的歉意!感谢您的理解!让我们一起为我国网络安全事业尽一份自己的绵薄之力!
|
写作不易,分享快乐
期待你的 分享●点赞●在看●关注●收藏
原文始发于微信公众号(网络安全007):应急响应之“银狐”病毒系列2
评论