应急案例:内网终端安全事件分析与处置过程详解

admin 2025年1月5日22:37:11评论52 views字数 2264阅读7分32秒阅读模式
银狐APT远控应急
1、事件概述
  • 某单位内网中一台PC被用户反馈存在异常行为,具体表现为该设备疑似被远程控制,并向外发送文件。

  • 值得注意的是,在整个过程中,安装的杀毒软件和态势感知系统均未触发任何告警。为保障网络安全,我们立即启动了紧急响应程序,对受影响的终端进行了详细调查。

2、初步排查
  • 到达现场后,为了防止进一步的数据泄露,我首先采取了断网措施,随后开始进行详细的检查。初期使用传统杀毒软件进行扫描时,发现木马已经限制了杀毒软件的启动,导致火绒和360等主流杀毒软件无法正常工作。
应急案例:内网终端安全事件分析与处置过程详解
3、深入分析
  • 通过查看系统进程,我注意到几个异常项:rundll32.exeruntimewinnt。这些进程缺乏明确的描述,特别是rundll32.exe,它是一个合法的Windows系统进程,但在此场景下表现出了可疑的行为。
应急案例:内网终端安全事件分析与处置过程详解
  • 当结束rundll32.exe进程后,发现杀毒软件能够恢复正常启动,这提示我该进程可能与恶意活动有关,一开始以为此进程就是后门进程,然后对rundll32.exe进行静态扫描,发现不报毒,继续丢沙箱发现,全绿不报毒,且签名完整为微软签名。

应急案例:内网终端安全事件分析与处置过程详解

应急案例:内网终端安全事件分析与处置过程详解

  • 此时使用火绒剑进一步的分析,发现rundll32.exe实际上是在加载一个名为update.png的文件

应急案例:内网终端安全事件分析与处置过程详解

  • 跟踪该图片路径,来到windows nt 目录,发现有隐藏文件(打开目录没有东西,cmd存在)
应急案例:内网终端安全事件分析与处置过程详解
  • 尽管其扩展名为.png,但是初步猜测该文件并非图片,而是一个shellcode(即恶意代码),所以我将文件依次放入沙箱检测,验证了我的猜想。

应急案例:内网终端安全事件分析与处置过程详解

应急案例:内网终端安全事件分析与处置过程详解

  • 通过查看网络链接情况,发现c2

应急案例:内网终端安全事件分析与处置过程详解

  • 对外联地址进行威胁情报查询,确认为银狐组织远控后门

应急案例:内网终端安全事件分析与处置过程详解

4、此次应急的切入点
  • 对此后门进行查杀测试,发现静态全部免杀,且无法单独结束其余两个进程,会自动重启,如果先结束rundll32进程后再关闭其余后门进程,开启杀软后,再次点击无法启动,会检测当前环境是否存在杀软

应急案例:内网终端安全事件分析与处置过程详解

  • 更新病毒库后联网进行查杀
应急案例:内网终端安全事件分析与处置过程详解
  • 如果没有删除此update.png文件,即使删除其余exe后,开机后会二次释放;删除update.png文件后,重启发现,rundll32已无法加载update.png文件后,杀软启动正常
应急案例:内网终端安全事件分析与处置过程详解
5、还原攻击链
  • 初始感染:攻击者利用社会工程学方式将恶意update.png文件植入目标机器。

  • 持久化机制:通过挂钩rundll32.exe实现开机自启动,进而释放其他恶意可执行文件如runtime.exe

  • 防护规避:阻止杀毒软件和其他安全工具的启动,形成一个闭环,使得常规的安全检测手段失效。

  • 远程控制:建立与C2服务器的连接,完成上线操作,允许攻击者远程操控受感染设备并窃取数据。

6、疑点分析
  • 为何360能查杀但仍中毒?

    • 受影响PC位于内网环境中,客户部署了一款特定的桌面管理软件,该软件与360不兼容,只能选择其中之一。然而,这款桌面管理软件未能识别出update.png这个后门文件,导致即使安装了360也无法有效防御此次攻击。

  • 无计划任务的情况下如何启动?

    • 攻击者通过挂钩rundll32.dll来实现恶意文件的自动加载,而不是依赖传统的计划任务或注册表键值。

7、处置建议

鉴于上述情况,采取了以下措施以彻底清除威胁并恢复系统的安全性:

  1. 重装操作系统:这是最彻底的解决方案,可以确保所有潜在的恶意组件都被移除。

  2. 清理存储介质:对于所有曾连接过该PC的物理传输设备(如U盘、外部硬盘等),应进行全面格式化处理,以防恶意软件扩散。

  3. 加强安全策略:评估现有安全产品的兼容性和有效性,考虑引入多层防护机制,包括但不限于下一代防火墙、入侵检测/预防系统(IDS/IPS)、端点检测响应(EDR)平台等。

  4. 员工培训:定期开展网络安全意识教育,提高员工对钓鱼邮件、不明链接及可疑附件的警惕性。

8、官方话语总结
  • 本次事件展示了现代网络攻击的复杂性和隐蔽性。银狐组织的后门不仅具备强大的隐身能力,还巧妙地绕过了现有的安全防线。通过对此次事件的全面分析,对这类威胁的理解更加深刻,并为未来的安全建设提供了经验。

9、课程介绍
  • 红蓝经验分享课程目前已经是第二期(定期直播+回放+答疑),针对大家的反响,增加改进了一些课程。
  • 第一期,只招收了140位师傅。但还是有很多师傅一直在加我, 问我什么时候扩招,因为怕各位师傅花了钱,学不到东西,所以一直没有扩招让各位师傅再等等。
  • 经过2个月的实验和多次直播课,群里师傅反响都觉得很值,学到了真东西,也有师傅通过课程中的线上拷打,面试成功。

应急案例:内网终端安全事件分析与处置过程详解

应急案例:内网终端安全事件分析与处置过程详解

  • 也有不少师傅是通过一段时间的跟班学习后,在漏洞挖掘方面得到了提升
应急案例:内网终端安全事件分析与处置过程详解

应急案例:内网终端安全事件分析与处置过程详解

应急案例:内网终端安全事件分析与处置过程详解

忘了讲师介绍了哈哈哈

NO.1 Syst1m

  • 一线红蓝对抗选手,参加大大小小攻防活动20+场,工作内容包括但不限于:渗透打点,内网免杀,应急响应,安全产品分析。
  • 部分成果:2023成渝地区某hw防守方第一,2024某川渝联合hw防守方第三,2023江西某运营商hw攻击方前10,2023河南某电力行业hw攻击方前10,2023川渝卫生行业hw最佳防守单位,2024川渝某卫生行业hw攻击队单兵打穿某三甲医院等等。
  • 目前Syst1m师傅在b站也有分享一些案例讲解视频有兴趣的师傅可关注id“Syst1m丶
应急案例:内网终端安全事件分析与处置过程详解

NO.2 Juneha

  • 2022-2023两年360sr榜一
应急案例:内网终端安全事件分析与处置过程详解
  • EDUSRC核心白帽子
应急案例:内网终端安全事件分析与处置过程详解
  • 竞赛选手:2024年9月福建省第五届"闽盾杯"网络空间安全大赛全国赛道本科组第一名
应急案例:内网终端安全事件分析与处置过程详解
10、课程学习咨询途径
  • 在公众号后台回复“攻防学习咨询”,即可获得Syst1m师傅的联系方式,联系Syst1m师傅
应急案例:内网终端安全事件分析与处置过程详解

原文始发于微信公众号(Syst1m Sec):应急案例:内网终端安全事件分析与处置过程详解

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月5日22:37:11
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急案例:内网终端安全事件分析与处置过程详解https://cn-sec.com/archives/3593447.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息