免责声明:
本公众号致力于安全研究和红队攻防技术分享等内容,本文中所有涉及的内容均不针对任何厂商或个人,同时由于传播、利用本公众号所发布的技术或工具造成的任何直接或者间接的后果及损失,均由使用者本人承担。请遵守中华人民共和国相关法律法规,切勿利用本公众号发布的技术或工具从事违法犯罪活动。最后,文中提及的图文若无意间导致了侵权问题,请在公众号后台私信联系作者,进行删除操作。
某次日常监测中发现恶意回连,恶意域名为feetifu.net
首先安装火绒剑,监控一下看看是什么软件或者进程在和feetifu.net通信,发现是svchost.exe,判断病毒已经注入到进程中
使用火绒全局查杀也并未发现病毒文件(现在应该是能查杀了),当时的排查进度陷入了停滞,想了想结合微步情报再调查一下有没有被钓鱼的可能。
从安全设备上看到如下日志
打开文件发现下面的图标,只能说没跑了,铁是病毒。
由于逆向分析能力太差,分析病毒的事情就交给后面的大哥了,小猪肠就用火绒剑看下运行后病毒文件都做了些什么,多个文件操作,隐藏文件,释放文件等。
运行该文件后
从远程下载病毒文件
操作注册表
再结合下微步分析,加载了计划任务
微步的执行流程看起来更加直观一些
那么事情的来龙去脉就大致搞明白了,受害者点击了微信群或邮件中的病毒文件导致自己的电脑中毒,不过当时的火绒等杀毒软件还未能对病毒完成查杀,于是自己开始手动清除,结合之前看到的释放文件一一清除
重启后发现已经没有恶意流量告警了,但是存在计划任务导致重启后会有弹窗
看了下是用cmd来启动的,结合之前的taskschd.dll组件,对此处的cmd进行禁用
后台回复“加群”或“小助手”,或扫描下方二维码加入我们的付费圈子,一起进步吧
原文始发于微信公众号(Lambda小队):某次钓鱼应急及溯源复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论