目录
1. Preparation
该事件是《应急实战(14):巧妙的恶意程序》的后续,因此该部分与其相同。
2. Detection
访问网站,会自动下载、或询问是否下载文件:help.scr
将help.scr上传到沙箱,确认是恶意程序
经对比哈希值,help.scr与《应急实战(14):巧妙的恶意程序》的xtgosqhl.exe是同一个恶意程序
查看网页文件,确认被挂马了,立即启动应急
3. Containment
3.1 删除恶意程序
在挂马的路径下找不到恶意程序help.scr
原来help.scr被设置了隐藏属性,使用attrib可以查看
使用everything可以全部找出来,一共63个,直接一键删除
3.2清除挂马代码
使用sublime text搜索挂马的代码,一共找到340的网页文件
使用replace功能,全部替换成空字符,相当于一键删除
最后需要一键保存所有修改过的文件,这样网站才能恢复正常了
4. Eradication
与《应急实战(14):巧妙的恶意程序》相同。
5. Recovery
与《应急实战(14):巧妙的恶意程序》相同。
6. Follow-Up
6.1落地和变更文件分析
在应急时,需要对攻击期间创建和修改的所有文件进行排查。本次挂马事件是由于《应急实战(14):巧妙的恶意程序》没有进行相关排查才导致遗漏的
Linux系统可使用find命令排查,Windows系统可使用everything工具排查
原文始发于微信公众号(OneMoreThink):应急实战(15):340个网页被挂马了
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论