应急案例：内网终端安全事件分析与处置过程详解

• 对此后门进行查杀测试，发现静态全部免杀，且无法单独结束其余两个进程，会自动重启，如果先结束rundll32进程后再关闭其余后门进程，开启杀软后，再次点击无法启动，会检测当前环境是否存在杀软

• 更新病毒库后联网进行查杀

• 如果没有删除此update.png文件，即使删除其余exe后，开机后会二次释放；删除update.png文件后，重启发现，rundll32已无法加载update.png文件后，杀软启动正常

• 为何360能查杀但仍中毒？

鉴于上述情况，采取了以下措施以彻底清除威胁并恢复系统的安全性：

1. 重装操作系统：这是最彻底的解决方案，可以确保所有潜在的恶意组件都被移除。

2. 清理存储介质：对于所有曾连接过该PC的物理传输设备（如U盘、外部硬盘等），应进行全面格式化处理，以防恶意软件扩散。

3. 加强安全策略：评估现有安全产品的兼容性和有效性，考虑引入多层防护机制，包括但不限于下一代防火墙、入侵检测/预防系统（IDS/IPS）、端点检测响应（EDR）平台等。

4. 员工培训：定期开展网络安全意识教育，提高员工对钓鱼邮件、不明链接及可疑附件的警惕性。

• 本次事件展示了现代网络攻击的复杂性和隐蔽性。银狐组织的后门不仅具备强大的隐身能力，还巧妙地绕过了现有的安全防线。通过对此次事件的全面分析，对这类威胁的理解更加深刻，并为未来的安全建设提供了经验。

• 红蓝经验分享课程目前已经是第二期（定期直播+回放+答疑），针对大家的反响，增加改进了一些课程。
• 第一期，只招收了140位师傅。但还是有很多师傅一直在加我， 问我什么时候扩招，因为怕各位师傅花了钱，学不到东西，所以一直没有扩招让各位师傅再等等。
• 经过2个月的实验和多次直播课，群里师傅反响都觉得很值，学到了真东西，也有师傅通过课程中的线上拷打，面试成功。

• 也有不少师傅是通过一段时间的跟班学习后，在漏洞挖掘方面得到了提升

忘了讲师介绍了哈哈哈

NO.1 Syst1m

• 一线红蓝对抗选手，参加大大小小攻防活动20+场，工作内容包括但不限于：渗透打点，内网免杀，应急响应，安全产品分析。
• 部分成果：2023成渝地区某hw防守方第一，2024某川渝联合hw防守方第三，2023江西某运营商hw攻击方前10，2023河南某电力行业hw攻击方前10，2023川渝卫生行业hw最佳防守单位，2024川渝某卫生行业hw攻击队单兵打穿某三甲医院等等。
• 目前Syst1m师傅在b站也有分享一些案例讲解视频有兴趣的师傅可关注id“Syst1m丶”

NO.2 Juneha

• 2022-2023两年360sr榜一

• EDUSRC核心白帽子

• 竞赛选手：2024年9月福建省第五届"闽盾杯"网络空间安全大赛全国赛道本科组第一名

• 在公众号后台回复“攻防学习咨询”，即可获得Syst1m师傅的联系方式，联系Syst1m师傅