-
某单位内网中一台PC被用户反馈存在异常行为,具体表现为该设备疑似被远程控制,并向外发送文件。
-
值得注意的是,在整个过程中,安装的杀毒软件和态势感知系统均未触发任何告警。为保障网络安全,我们立即启动了紧急响应程序,对受影响的终端进行了详细调查。
-
到达现场后,为了防止进一步的数据泄露,我首先采取了断网措施,随后开始进行详细的检查。初期使用传统杀毒软件进行扫描时,发现木马已经限制了杀毒软件的启动,导致火绒和360等主流杀毒软件无法正常工作。
-
通过查看系统进程,我注意到几个异常项: rundll32.exe
、runtime
和winnt
。这些进程缺乏明确的描述,特别是rundll32.exe
,它是一个合法的Windows系统进程,但在此场景下表现出了可疑的行为。
-
当结束 rundll32.exe
进程后,发现杀毒软件能够恢复正常启动,这提示我该进程可能与恶意活动有关,一开始以为此进程就是后门进程,然后对rundll32.exe进行静态扫描,发现不报毒,继续丢沙箱发现,全绿不报毒,且签名完整为微软签名。
-
此时使用火绒剑进一步的分析,发现 rundll32.exe
实际上是在加载一个名为update.png
的文件
-
跟踪该图片路径,来到windows nt 目录,发现有隐藏文件(打开目录没有东西,cmd存在)
-
尽管其扩展名为 .png
,但是初步猜测该文件并非图片,而是一个shellcode(即恶意代码),所以我将文件依次放入沙箱检测,验证了我的猜想。
-
通过查看网络链接情况,发现c2
-
对外联地址进行威胁情报查询,确认为银狐组织远控后门
-
对此后门进行查杀测试,发现静态全部免杀,且无法单独结束其余两个进程,会自动重启,如果先结束rundll32进程后再关闭其余后门进程,开启杀软后,再次点击无法启动,会检测当前环境是否存在杀软
-
更新病毒库后联网进行查杀
-
如果没有删除此update.png文件,即使删除其余exe后,开机后会二次释放;删除update.png文件后,重启发现,rundll32已无法加载update.png文件后,杀软启动正常
-
初始感染:攻击者利用社会工程学方式将恶意
update.png
文件植入目标机器。
-
持久化机制:通过挂钩
rundll32.exe
实现开机自启动,进而释放其他恶意可执行文件如runtime.exe
。 -
防护规避:阻止杀毒软件和其他安全工具的启动,形成一个闭环,使得常规的安全检测手段失效。
-
远程控制:建立与C2服务器的连接,完成上线操作,允许攻击者远程操控受感染设备并窃取数据。
-
为何360能查杀但仍中毒?
-
受影响PC位于内网环境中,客户部署了一款特定的桌面管理软件,该软件与360不兼容,只能选择其中之一。然而,这款桌面管理软件未能识别出
update.png
这个后门文件,导致即使安装了360也无法有效防御此次攻击。
-
无计划任务的情况下如何启动?
-
攻击者通过挂钩
rundll32.dll
来实现恶意文件的自动加载,而不是依赖传统的计划任务或注册表键值。
鉴于上述情况,采取了以下措施以彻底清除威胁并恢复系统的安全性:
-
重装操作系统:这是最彻底的解决方案,可以确保所有潜在的恶意组件都被移除。
-
清理存储介质:对于所有曾连接过该PC的物理传输设备(如U盘、外部硬盘等),应进行全面格式化处理,以防恶意软件扩散。
-
加强安全策略:评估现有安全产品的兼容性和有效性,考虑引入多层防护机制,包括但不限于下一代防火墙、入侵检测/预防系统(IDS/IPS)、端点检测响应(EDR)平台等。
-
员工培训:定期开展网络安全意识教育,提高员工对钓鱼邮件、不明链接及可疑附件的警惕性。
-
本次事件展示了现代网络攻击的复杂性和隐蔽性。银狐组织的后门不仅具备强大的隐身能力,还巧妙地绕过了现有的安全防线。通过对此次事件的全面分析,对这类威胁的理解更加深刻,并为未来的安全建设提供了经验。
-
红蓝经验分享课程目前已经是第二期(定期直播+回放+答疑),针对大家的反响,增加改进了一些课程。 -
第一期,只招收了140位师傅。但还是有很多师傅一直在加我, 问我什么时候扩招,因为怕各位师傅花了钱,学不到东西,所以一直没有扩招让各位师傅再等等。 -
经过2个月的实验和多次直播课,群里师傅反响都觉得很值,学到了真东西,也有师傅通过课程中的线上拷打,面试成功。
-
也有不少师傅是通过一段时间的跟班学习后,在漏洞挖掘方面得到了提升
忘了讲师介绍了哈哈哈
NO.1 Syst1m
-
一线红蓝对抗选手,参加大大小小攻防活动20+场,工作内容包括但不限于:渗透打点,内网免杀,应急响应,安全产品分析。 -
部分成果:2023成渝地区某hw防守方第一,2024某川渝联合hw防守方第三,2023江西某运营商hw攻击方前10,2023河南某电力行业hw攻击方前10,2023川渝卫生行业hw最佳防守单位,2024川渝某卫生行业hw攻击队单兵打穿某三甲医院等等。 -
目前Syst1m师傅在b站也有分享一些案例讲解视频有兴趣的师傅可关注id“ Syst1m丶
”
NO.2 Juneha
-
2022-2023两年360sr榜一
-
EDUSRC核心白帽子
-
竞赛选手:2024年9月福建省第五届"闽盾杯"网络空间安全大赛全国赛道本科组第一名
-
在公众号后台回复“攻防学习咨询”,即可获得Syst1m师傅的联系方式,联系Syst1m师傅
原文始发于微信公众号(Syst1m Sec):应急案例:内网终端安全事件分析与处置过程详解
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论