与牛子哥自研后门的一次对抗经历

admin 2024年11月28日10:38:57评论16 views字数 1190阅读3分58秒阅读模式
安全新闻
与牛子哥自研后门的一次对抗经历

今天不水文了。来个有用的~

前两天大手子给我发来了一个后门,不是cobalt strike 也不是MSF。算是自研的吧。他问我什么时候能排查出来。于是乎就开始了应急之路~

  • 自研的后门
  • 态势以及EDR无感
  • VT、杀软全绿
  • 命令执行不拦截

以上4点好像也没什么可排查了,所谓的日志还有就是启动项以及计划任务。杀软全上了。好像后门没扫出来。(那些所谓的安全工具箱的报毒一堆)这个忽略。于是我上了企业版的主机防护(某擎)无感好像也没发现病毒。(所有病毒库都是最新的无疑)话不多说。开淦~

这里我们借助两款后门排查工具(D盾还有火绒剑)有啥就不多介绍了。自己细看吧

打开火绒剑监控进程先,这个东西肉眼看吧你觉得有啥不对劲的就直接点。凭借自己的经验来看。

一、事件过程
与牛子哥自研后门的一次对抗经历

于是乎我从头翻到尾了好像也没看到啥有用的东西

二、火绒剑分析进程
与牛子哥自研后门的一次对抗经历

后面我又回到了进程还是一个个找,找了很久还是没出来,于是牛子哥给我来了一个VBS弹窗(我屮艸芔茻)挑衅还这么明目张胆的嘛。泥煤的~真该死

三、赤裸裸的挑衅?
与牛子哥自研后门的一次对抗经历

虽然说态势EDR无感,但是我可以监控进程啊我屮艸芔茻。是不是忘了你有尊贵的大宝剑(火绒剑)我看进程发现了一个微软的exe一直在动。

四、whoami?
与牛子哥自研后门的一次对抗经历

我打开进程具体信息他是这样的,我对比了一下微软自己的软件好像并没有什么两样,但是他唯一让我怀疑的是他执行了一下whoami。谁家好人执行whoami啊我屮艸芔茻~

五、Microsoft Corporation?
与牛子哥自研后门的一次对抗经历

于是抱着怀疑的心态我继续往下走,找文件。找目录(这里我们借助下一个神器everything)直接起飞找文件比3秒真男人还快~。打开everything复制出文件名。

与牛子哥自研后门的一次对抗经历

    从正常人的思维来看,第一个肯定是看签名我屮艸芔茻什么玩意?

五、Microsoft Corporation?
与牛子哥自研后门的一次对抗经历
与牛子哥自研后门的一次对抗经历

这泥煤是微软的?还有理由怀疑这是后门吗?我屮艸芔茻

与牛子哥自研后门的一次对抗经历

然后我们继续回文件目录。what?文件不存在文件被隐藏了(但是答应了牛子哥保密我们用另外一种方法找出来)

与牛子哥自研后门的一次对抗经历

这时候打开我们的大保健,文件自然就出来了看看写入时间刚好也是今天。

与牛子哥自研后门的一次对抗经历

    文件既然出来了这时候才开始真正的应急了。先删文件吧。

六、删不掉?
与牛子哥自研后门的一次对抗经历

    不让删?先结束进程吧。因为在运行掏出我们的大保健ok吗?必须OK啊!

七、删不掉?
与牛子哥自研后门的一次对抗经历
与牛子哥自研后门的一次对抗经历

与牛子哥自研后门的一次对抗经历

    进程已经结束~嘿嘿嘿,这时候该删文件了好像还是删不了

与牛子哥自研后门的一次对抗经历

    还是有别的方法留个悬念(牛子哥不让说)

八、痛快~
与牛子哥自研后门的一次对抗经历

    文件确实删除了,但是正当我洋洋得意准备去炫耀的时候。突然一个calc又来了。我屮艸芔茻。这不是给我了当头一棒

与牛子哥自研后门的一次对抗经历

    原来他实时监控我屮艸芔茻,这个鸟人。大部分只要有这个离不开计划任务所以回到计划任务

与牛子哥自研后门的一次对抗经历

    又是微软,请问你感动吗?

与牛子哥自研后门的一次对抗经历

    管他嘞删了再说

与牛子哥自研后门的一次对抗经历
与牛子哥自研后门的一次对抗经历
与牛子哥自研后门的一次对抗经历
与牛子哥自研后门的一次对抗经历

  删完了~泥煤的~

与牛子哥自研后门的一次对抗经历

与牛子哥的对抗结束了

与牛子哥自研后门的一次对抗经历

原文始发于微信公众号(朱厌安全):与牛子哥自研后门的一次对抗经历

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月28日10:38:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   与牛子哥自研后门的一次对抗经历https://cn-sec.com/archives/3443670.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息