原文链接:https://mp.weixin.qq.com/s/muI-rrPO8iHdk-YMg6EKag
起因:用户使用pc接入卫生专网时发生告警,连接apt组织域名,疑似被远控
排查
-
查看此域名的安全情报,发现为著名apt组织金眼狗的远控域名
-
上机,先查看此域名解析的历史ip
-
用火绒剑,搜索当前电脑正在通信的ip,发现存在此ip
-
查看此进程,权限为system可疑,描述为qq游戏
-
进一步查看,发现此进程目录为隐藏目录,且签名可疑,程序无法启动
放入沙箱查看,单个文件逐一查杀为安全
-
360查杀,只有dll文件报毒
-
全部打包放入沙箱,发现为远控,与上文域名匹配,应该是白+黑模式启动,由exe加载dll文件启动
![金眼狗apt组织远控应急(还愁面试没话说吗)]( "金眼狗apt组织远控应急(还愁面试没话说吗)")
处置建议:重装此pc系统,所有连接过此pc的物理传输介质(u盘,硬盘等)全部格盘,并安装杀毒软件,定期查杀
总结:至此溯源完毕,确认为金眼狗组织远控后门,传播途径为包括但不限于,u盘传播,破解软件,模拟正常软件页面钓鱼等等手法
需要了解攻防相关学习资源,可以关注以下公众号“Syst1m Sec”,关注后留言“攻防学习咨询”获取Syst1m师傅联系方式进行咨询(加v备注:攻防学习咨询)
别忘了给Syst1m师傅的文章点赞噢
原文始发于微信公众号(SecurePulse):金眼狗apt组织远控应急(还愁面试没话说吗)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论