记一个真实的应急响应案例（6）wmiex恶意程序事件

目录

一、恶意程序

1.1、C:windowsTempsvchost.exe

1.2、C:windowscouxxltk.exe

1.3、C:windowssyswow64wmiex.exe

1.4、C:windowssyswow64svhost.exe

1.5、C:windowssyswow64driverssvchost.exe

1.6、C:windowssyswow64driverstaskmgr.exe

二、后门

2.1、系统帐号

2.2、计划任务

2.2、自启程序

2.3、自启服务

三、漏洞

四、后续待办

4.1、清除后门

4.2、终止恶意程序进程

4.3、删除恶意程序文件

4.4、修复漏洞

一、恶意程序

使用命令netstat -nao查看网络连接情况，意外发现存在异常网络连接，进程ID（PID）是1748。

使用命令wmic process where processid=1748 get processid,name,executablepath查看PID是1748的进程的可执行文件路径，得到C:windowsTempsvchost.exe。

1.1、C:windowsTempsvchost.exe

将可执行文件C:windowsTempsvchost.exe上传到微步沙箱和virustotal沙箱进行分析，确认是恶意程序，后续需备份后删除。

https://s.threatbook.com/report/file/77ed1262c3f7291ea1857169eb8804ce9dddc11db2c2bdd6b2076a3d7b289ad3

https://www.virustotal.com/gui/file/77ed1262c3f7291ea1857169eb8804ce9dddc11db2c2bdd6b2076a3d7b289ad3

进入该可执行文件的路径C:windowsTemp，发现mkatz.ini文件、tmp.vbs文件等存在恶意内容的文件，因此可以确认该路径是攻击者的专用文件夹，后续需备份后删除。

使用命令msinfo32进入系统信息，选择软件环境—正在运行任务并按文件日期排序，获得与恶意程序C:windowsTempsvchost.exe文件日期相近的其他可执行文件：C:windowscouxxltk.exe、C:windowssyswow64wmiex.exe、C:windowssyswow64driverssvchost.exe、C:windowssyswow64driverstaskmgr.exe。

1.2、C:windowscouxxltk.exe

将可执行文件C:windowscouxxltk.exe上传到微步沙箱和virustotal沙箱进行分析，确认是恶意程序，后续需备份后删除。

https://s.threatbook.com/report/file/3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71

https://www.virustotal.com/gui/file/3c2fe308c0a563e06263bbacf793bbe9b2259d795fcc36b953793a7e499e7f71

1.3、C:windowssyswow64wmiex.exe

将可执行文件C:windowssyswow64wmiex.exe上传到微步沙箱和virustotal沙箱进行分析，确认是恶意程序，后续需备份后删除。

https://s.threatbook.com/report/file/b771267551961ce840a1fbcd65e8f5ecd0a21350387f35bbcd4c24125ec04530

https://www.virustotal.com/gui/file/b771267551961ce840a1fbcd65e8f5ecd0a21350387f35bbcd4c24125ec04530

1.4、C:windowssyswow64svhost.exe

在恶意程序C:windowssyswow64wmiex.exe的路径下按修改日期排序，发现可执行文件C:windowssyswow64svhost.exe，上传到微步沙箱和virustotal沙箱进行分析，确认是恶意程序，后续需备份后删除。

https://s.threatbook.com/report/file/bdbfa96d17c2f06f68b3bcc84568cf445915e194f130b0dc2411805cf889b6cc

https://www.virustotal.com/gui/file/bdbfa96d17c2f06f68b3bcc84568cf445915e194f130b0dc2411805cf889b6cc

1.5、C:windowssyswow64driverssvchost.exe

将可执行文件C:windowssyswow64driverssvchost.exe上传到微步沙箱和virustotal沙箱进行分析，结果与C:windowssyswow64svhost.exe一致，确认是恶意程序，后续需备份后删除。

1.6、C:windowssyswow64driverstaskmgr.exe

将可执行文件C:windowssyswow64driverstaskmgr.exe上传到微步沙箱和virustotal沙箱进行分析，确认是恶意程序，后续需备份后删除。

https://s.threatbook.com/report/file/de7dba8ef2f284e92f9ceec09599d7e4a31592b773c9642be5bcf18f2463a3a6

https://www.virustotal.com/gui/file/de7dba8ef2f284e92f9ceec09599d7e4a31592b773c9642be5bcf18f2463a3a6

使用Everything排查是否存在其他落地时间相近的恶意程序，通过语法dm:20240709T2320-20240709T2325进行筛选，分别对路径、大小进行排序后逐个查看，未发现其他可疑的可执行文件。

二、后门

2.1、系统帐号

使用命令compmgmt.msc进入计算机管理，在系统工具—本地用户和组—用户未发现隐藏的系统帐号。

2.2、计划任务

使用taskschd.msc命令查看计划任务，发现3个定期启动恶意程序的计划任务。

2.3、自启程序

使用命令msinfo32进入系统信息，选择软件环境—启动程序查看自启程序，发现2个启动恶意程序的自启程序WebServers和Ddriver。

2.4、自启服务

使用命令msinfo32进入系统信息，选择软件环境—服务查看自启服务，发现3个启动恶意程序的自启服务WebServers、Ddriver、CuXq。

三、漏洞

使用命令compmgmt.msc进入计算机管理，在系统工具—事件查看器—Windows日志—安全，筛选当前日志，查看事件ID4625，发现IP地址59.108.119.2存在大量登录失败事件；筛选当前日志，查看事件ID4624，发现IP地址59.108.119.2存在登录成功事件。

因此判断IP地址59.108.119.2对服务器进行RDP爆破，最后获得administrator帐号的弱口令，成功登录服务器。因为恶意程序会自动删除日志，导致日志被删除，所以随便截一张图表示。

四、后续待办

4.1、清除后门

使用taskschd.msc命令进入任务计划程序，对3个计划任务，逐个点击右键选择删除。

使用命令regedit进入注册表编辑器，导航至自启程序位置HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun，对2个自启程序逐个点击右键选择删除。

使用命令compmgmt.msc进入计算机管理，在系统工具—服务和应用程序—服务，对3个自启服务逐个点击右键选择停止。

4.2、终止恶意程序进程

使用命令msinfo32进入系统信息，选择软件环境—正在运行任务并按文件日期排序，获得恶意程序进程ID，使用命令taskkill /f /pid:1748终止恶意程序进程。

4.3、删除恶意程序文件

备份后删除恶意程序文件，并清空回收站。

4.4、修复漏洞

使用命令net user administrator 新密码修改弱口令。