目录
6.1 优化日志策略
1. Preparation
1.1 开启日志记录
开启sysmon日志记录
1.2 优化日志策略
优化security日志覆盖策略
1.3 部署安全产品
部署长亭牧云hids主机安全产品
2. Detection
2.1 安全产品告警
还好告警聚合到了1分钟,不然本次攻击造成的告警风暴将直接把我DDOS疯掉(好像已经疯了)
只有C:ProgramData2HIf.exe一个程序,但由不同进程频繁执行,这才导致了告警风暴
从进程树可以看到,首先是启动了xtgosqhl.exe的进程,然后才执行了2HIf.exe的进程
这在后续排查中起到了关键作用,因为2HIf.exe进程的存活时间太短了,根本看不到相关进程
这正是攻击者的巧妙之处:消失的2Hif.exe进程、隐藏的xtgosqhl.exe文件、高频的QQMusic后门(后面会讲)。如果不是hids告警,可能都没法知道服务器中毒了。
3. Containment
3.1 终止xtgosqhl.exe相关恶意进程与告警
先xtgosqhl.exe,后2Hif.exe。因为2Hif被xtgosqhl打开,会无法删除
先kill进程,再del文件。因为文件被进程打开,会无法删除
找不到恶意程序C:ProgramDataxtgosqhl.exe
去掉xtgosqhl.exe的系统、隐藏、存档、只读属性后,才能删除
此处由于计划任务后门每分钟会执行一次(后面会讲),导致xtgosqhl.exe进程又起来了,需要再终止一次进程,才能删除恶意程序
3.2 终止2HIf.exe相关恶意进程与告警
找不到C:ProgramData2HIf.exe相关的恶意进程,但是可以直接删除恶意程序2HIf.exe,这也说明了相关恶意进程的存活时间很短
4. Eradication
4.1 删除自启程序后门
使用Autoruns发现2个自启程序后门
可在Autoruns中删除
也可到注册表中删除
4.2 删除计划任务后门
使用Autoruns发现计划任务后门
无限期地每隔1分钟重复一次,太狠了,必须删除
对于这俩后门,总感觉缺点什么,没有低频拉高频,也没有下载恶意程序。
而是把宝全部押在xtgosqhl.exe的隐藏程序和高频进程上,一旦被发现并删除,这俩后门也跟着没用了。
4.3 删除系统帐号后门
发现新建的系统帐号,从上次登录时间看,不一定与此次事件相关,但也需要删除
4.4 加固系统弱口令漏洞
排查攻击者是否通过爆破系统弱口令获得系统权限,但是security日志被删了,可恶啊
万幸的是,sysmon日志还在。不幸的是,sysmon日志未优化日志覆盖策略,由于本次事件的攻击行为过多,导致初始入侵日志被覆盖了,可恶啊
牧云hids的暴力破解,也只有4天前存在爆破成功记录,仅靠时间线无法佐证与本次事件相关,可恶啊
但Administrator帐号确实存在弱口令,需要修改
5. Recovery
不涉及
6. Follow-Up
6.1 优化日志策略
优化sysmon日志覆盖策略
为什么之前只优化了security日志覆盖策略,没优化sysmon的呢?
因为《应急实战(8):一次平平无奇的应急》事件只导致了security日志被覆盖,没导致sysmon日志被覆盖,看来是Follow-Up的深度不够呀。
原文始发于微信公众号(OneMoreThink):应急实战(14):巧妙的恶意程序
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论