• 导语

各位一定遇到过这样的情况：防火墙告警显示某台机器访问了恶意C2，但失陷主机由于各种原因未安装安全软件，或即使安装了也未触发相关告警。遇到这种情况应该如何排查呢？本文便以一位刚参加工作不久的安全工程师——赵刚毅（人称赵铁蛋、铁蛋）——的视角来排查一起安全事件。

注意：本故事基于真实应急响应事件，但是情节与人物均属虚构，请勿对号入座，如有雷同，说明您也中招了。文中提到的工具，请点击文末的“阅读原文”获取更多信息。

• 周六，下午2:40

一阵电话铃音响起，赵刚毅迷迷糊糊地从午睡状态中拿起手机按下接听键。

“铁蛋啊……”电话那头传来他师傅老李头的声音，“A客户那边防火墙有个告警，需要你过去看看”。

“行啊，师傅，咱俩门口见？”赵刚毅回应道。

“我现在还在另一个现场，这次你自己去吧，毕业大半年了也该自己出一次现场了。”电话那头的老李道。

“不是……师傅……这……这种防火墙告警上机排查的活贼麻烦，一半的可能性一无所获，您真让我一个人去？”听到师傅让自己一个人去，此时铁蛋已经清醒了一大半。

“公司最近出了个新玩意，叫什么……Q……Q什么来着，听说效果还不错，你到了客户现场先试试……”老李说。

“可是……师傅……”铁蛋还有话想说。

“行了，我不跟你说了啊，客户喊我了，我得先挂了。”

随即电话那头便传来了嘟嘟的忙音。

• 出租车上，下午2:55

“周末打车倒是挺快的，周内也这么容易就好了”赵刚毅心里嘀咕道，然后他随手打开了蓝信上师傅发过来的“Q什么工具”的下载地址：

“看着使用方法挺简单的，导出信息后再上传到一个专门的分析系统就行了。”赵刚毅嘀咕道。

总之到了客户现场先试试再说吧。

• 现场告警，下午3:43

办完访客，赵刚毅跟随客户的IT管理员到达了办公区工位。

虽然是初夏，可是从车上到客户工区的一段路还是让赵刚毅出了一身的汗，这会一进办公区，空调送来的清凉着实让赵刚毅顿感舒爽。

“这就是防火墙的告警”管理员说道。

“好的，我先看一下”赵刚毅随即坐到电脑面前。

“看样子，10.34.42.163这台机器是失陷重灾区啊”赵刚毅自言自语道。

随后，赵刚毅看了一下这台机器上EDR的告警详情：

“看样子jjj[.]jjycc[.]cc这个域名是导致告警的最直接原因，但是这个导致告警的进程是怎么回事？随机进程？看样子不太好办啊……”赵刚毅心里嘀咕道，与此同时他的额头和手心渗出了密密的汗珠——毕竟第一次出客户现场，搞不定的话可就玩儿砸了。

“这台机器能远程么？”赵刚毅问管理员。

“可以~”管理员说。

“那麻烦给远程一下，我需要上机收个日志回来”赵刚毅对管理员说到。同时心想：“先死马当活马医吧，试试公司新出的QDoctor”。

“日志外发可能得需要审批一下”管理员说。

“那您先去申请日志外发的事情，我导日志还需要一段时间。”说着赵刚毅便操作着QDoctor进行日志导出。

• 初见端倪，下午4:30

“我这里日志导出完了，您那边外发申请下来了么？”赵刚毅问管理员。

“可以的，您填一下这张表格走一下流程就行。”说罢管理员在电脑上打开了一个word文档。

填完表格发邮件报备登记后，赵刚毅将导出的日志拿了出来并上传到了内部的QDoctor日志分析系统：

“日志分析任务倒还算蛮快的，就是导出日志有点慢。”赵刚毅心里想着。

随后赵刚毅打开了分析完成后的结果：

只见，摘要信息中一大堆红色的高危项目。

“好家伙，这是捅到毒窝了呀，还是个Rootkit。”赵刚毅心中惊叹道。

• 现场处置，下午4:40

有了目标信息，剩下的事情就好办多了。处置这种事情师傅老李也教了赵刚毅不少技巧和经验——只不过之前都是东拼西凑用一堆工具处置，倒是这次可以试试QDoctor的处置功能。

“这玩意注册了一堆内核回调函数，先无脑给统统致盲掉！”赵刚毅心想。

“还有微过滤驱动回调，也先给卸载掉先。”

“最后，干掉你的老巢，把你启动项摘掉。”

处置完毕后，重启机器。

“您看一下防火墙告警还有么”赵刚毅对管理员说到。

“目前没有了，不过这个告警是周期性的，需要再观察一下”管理员说。

• 收尾，下午4:50

“目前大概有10分钟没告警了。”管理员说。

“那应该就是清理干净了！”赵刚毅说。

与此同时，赵刚毅提交到样本分析组那边的工单也有了初步分析结论。

这个恶意样本会在内核态对用户态进程注入线程，例如本次选定的用户态进程便是Explorer.exe：

注入的线程还会在%TEMP%目录下打log：

每3秒汇报一次"i am here workerthread":

当然了，常规的通过网络下载其他一堆东西回来也是必不可少的（如上图日志中的下载地址）。

“真他*的流氓！”赵刚毅心中暗骂。

• 回程车上，下午5:13

“师傅，给客户处置完了”，搞定所有问题后，赵刚毅在车上和师傅老李做电话汇报。

“怎么样？”老李问到。

“别说，您推荐的那个QDoctor工具还挺好用的……”

• 彩蛋，某年某月某时某分

QDoctor研发A：“最近有不少人反馈咱们的QD导出日志很慢啊，能快点吗？”

QDoctor研发B：“能跑不就行了，慢点就慢点嘛。”

QDoctor研发A：“别抱怨了，赶紧改代码，让导出快一点……”

本文归档：0896732、0891869、0896732、0845600、0835907、0648165、0644508