检测网吧上网终端安全

先看一张图，从淘宝搜索看到很多人steam账号被盗，很多人不懂申诉就找淘宝上的店铺帮忙，从订单上看是有很多受害的，可能每天都在新增。

网吧上网去登录比较敏感的游戏账号可能会被盗，公共上的网络终端一点都不安全，根据网吧的环境（无盘软件）存在的风险也不同。

首先启动网吧电脑，下载复杂之眼EDR并安装配置，EDR是什么可以通过维基百科查看。

部署完复杂之眼EDR观察终端上的行为活动变化，从无盘软件上搜索吃鸡并运行steam客户端，等待复杂之眼检测出现告警。

通过邮箱提醒网吧上网的终端上告警出现了

切换复杂之眼威胁分析图，定位出现问题点，判断该告警是否存在威胁。

可以看到hsjgame.exe会在系统文件目录释放一个exe文件，通过我对这个文件的观察对方可以选择释放或者不释放。

UsersAdministratorAppDataRoaming�.7747401.exe

利用复杂之眼事件猎手寻找IOA攻击指标，可以看到0.7747401.exe创建进程到svchost.exe

会进行网络通信会连接103.39.210.144服务器

获取0.7747401.exe文件SHA256信息

a2e4dac433e4df0374fecf9abcb349bf337879c32cd04604c06a95b7cb1c04a9

VT进行搜索是否有人上传过，上次上传时间是2023年9月12日早上4点58分，可以看到检测结果，明显存在恶意行为。

查询VT行为分析获取细节，明显存在命令控制行为。

扫描一下命令控制服务器103.39.210.144开放端口情况，发现存在phpmyadmin服务，说明需要存储数据，梳理上述信息明显发现这个释放的0.7747401.exe文件有问题，但是会上传什么拿走什么，就不清楚也没有分析下去了。

原文始发于微信公众号（我的安全梦）：检测网吧上网终端安全