今天不水文了。来个有用的~
前两天大手子给我发来了一个后门,不是cobalt strike 也不是MSF。算是自研的吧。他问我什么时候能排查出来。于是乎就开始了应急之路~
-
自研的后门 -
态势以及EDR无感 -
VT、杀软全绿 -
命令执行不拦截
以上4点好像也没什么可排查了,所谓的日志还有就是启动项以及计划任务。杀软全上了。好像后门没扫出来。(那些所谓的安全工具箱的报毒一堆)这个忽略。于是我上了企业版的主机防护(某擎)无感好像也没发现病毒。(所有病毒库都是最新的无疑)话不多说。开淦~
这里我们借助两款后门排查工具(D盾还有火绒剑)有啥就不多介绍了。自己细看吧
打开火绒剑监控进程先,这个东西肉眼看吧你觉得有啥不对劲的就直接点。凭借自己的经验来看。
于是乎我从头翻到尾了好像也没看到啥有用的东西
后面我又回到了进程还是一个个找,找了很久还是没出来,于是牛子哥给我来了一个VBS弹窗(我屮艸芔茻)挑衅还这么明目张胆的嘛。泥煤的~真该死
虽然说态势EDR无感,但是我可以监控进程啊我屮艸芔茻。是不是忘了你有尊贵的大宝剑(火绒剑)我看进程发现了一个微软的exe一直在动。
我打开进程具体信息他是这样的,我对比了一下微软自己的软件好像并没有什么两样,但是他唯一让我怀疑的是他执行了一下whoami。谁家好人执行whoami啊我屮艸芔茻~
于是抱着怀疑的心态我继续往下走,找文件。找目录(这里我们借助下一个神器everything)直接起飞找文件比3秒真男人还快~。打开everything复制出文件名。
从正常人的思维来看,第一个肯定是看签名我屮艸芔茻什么玩意?
这泥煤是微软的?还有理由怀疑这是后门吗?我屮艸芔茻
然后我们继续回文件目录。what?文件不存在文件被隐藏了(但是答应了牛子哥保密我们用另外一种方法找出来)
这时候打开我们的大保健,文件自然就出来了看看写入时间刚好也是今天。
文件既然出来了这时候才开始真正的应急了。先删文件吧。
不让删?先结束进程吧。因为在运行掏出我们的大保健ok吗?必须OK啊!
进程已经结束~嘿嘿嘿,这时候该删文件了好像还是删不了
还是有别的方法留个悬念(牛子哥不让说)
文件确实删除了,但是正当我洋洋得意准备去炫耀的时候。突然一个calc又来了。我屮艸芔茻。这不是给我了当头一棒
原来他实时监控我屮艸芔茻,这个鸟人。大部分只要有这个离不开计划任务所以回到计划任务
又是微软,请问你感动吗?
管他嘞删了再说
删完了~泥煤的~
原文始发于微信公众号(朱厌安全):与牛子哥自研后门的一次对抗经历
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论