应急响应|记一次简单的应急响应

应急响应|记一次简单的应急响应

25bec6fb60836aa1b8af9db0ec25875c

前言

在一个风和日丽的周六,正在为中午点什么外卖焦灼和痛苦时,急促的电话铃声响了起来,大表哥一句“怎么说”之后便开始眉头紧锁,一言不发。我就知道出事了。原来是某企业内网沦陷了,入侵现象简单告知为内网存在大量爆破行为,连专网都打。这波啊这波是肉蛋葱击。

分析处置

内网存在非法外联,多种错误配置,未及时打补丁,杀毒软件未更新。由于病毒变种后自身会执行清理痕迹等操作,OA内网的网络环境混乱(DHCP),所以无法溯源,无法定位第一台受到入侵的机器。经分析发现,内网OA服务器上有驱动人生后门挖矿病毒,OMacro宏病毒。

处理方法:对内网所有主机断网后进行逐个排查并杀毒。杀毒后抓包没发现存在恶意行为,后接入内网交换机。

病毒简述

驱动人生病毒为挖矿病毒的一种,它通过 “永恒之蓝” 漏洞、暴力破解 SMB 服务等途径进行横向传播,随后释放挖矿木马进行挖矿操作。

以下给出驱动人生病毒相关文件:  (文件位置和功能和作用)

主程序

C:\Windows\system32\svhost.exe

C:\Windows\SysWOW64\svhost.exe

C:\Windows\system32\drivers\svchost.exe

C:\Windows\SysWOW64\drivers\svchost.exe

 

横向传播程序

C:\Windows\temp\svvhost.exe

C:\Windows\temp\svchost.exe

 

后门程序。

C:\Windows\system32\wmiex.exe

C:\Windows\SysWOW64\wmiex.exe

 

任务管理器伪装程序。

C:\Windows\system32\drivers\taskmgr.exe

C:\Windows\SysWOW64\drivers\taskmgr.exe

 

mimikatz 程序:从 Windows 系统内存中提取明文密码、哈希、PIN 码和 Kerberos 凭证,以及 pass-the-hash、pass-the-ticket、build Golden tickets 等数种黑客技术

C:\Windows\temp\m.ps1mimikatz

 

结果。

C:\Windows\temp\mkatz.ini

 

“永恒之蓝” 漏洞横向传播产生的脚本文件。

C:\Windows\temp\p.bat

 

“永恒之蓝” 漏洞横向传播的主程序。

C:\installed.exe

 

主程序的更新文件。

$env:temp\update.exe

分析传播手段部分截图

在OA服务器上抓包捕获到内网机器146.16.67.**9对146.16.67.**4发起了smb登录请求并成功登录,通过日志可以看到执行了恶意命令,作用是请求外部地址下载病毒文件。

5da1f7d602a71f894005802dd5abc50bfb0d10c702ef8db53493050dbc33159d9c0844daa8d7d214214d5f3636494c9c

我们得到了一个C2地址,可以去情报平台查查到底是什么用途,有助于我们对病毒的了解。

c3b7ffe2f9e28498ff0162aa3e81d5da

初步确定这是一起挖矿病毒的入侵,后开始针对挖矿病毒进行取证。

C:\Windows\Temp 目录中发现横向传播程序文件svchost.exe

cf612cbcc5ea174c7c0d770336a60e4b

病毒会安装多个恶意服务项,不仅限于WebSever等0dfcaf4223d8b0b861eac97aa27fe6a8

 

永恒之蓝漏洞传播,mimikatz抓取hash进一步域渗透

c23d5639c6b01a5c867a76e22cd6bad2

435cb85b1cc1609b8aec6365fb43dab6创建多个恶意进程,可以看到有大量成功smb爆破的日志e991b55c5c49890014740b0ff967d9b7

 

漏洞横向传播的主程序及PS脚本等。

ff976cdfdc83a6d5a2f315a227a9976c

简单查杀后,发现还是存在攻击行为。发现是变种病毒,会自动创建备份文件夹等用于病毒程序的植入的检测和复活。39b978110328b4fe44cc9ed0f08e6c26

大部分主机被植入了后门,破坏者实现远控进行挖矿,会造成数据泄露,占用大量资源,业务无法进行等严重后果。

后记d540c1d87dbc25bdebbe2f02f31ddc89

取证结束后交由运维师傅使用专杀工具杀毒后,内网无smb爆破行为,业务正常后。原以为结束了,可半天后打电话告知有100多个宏病毒告警。

对多个病毒文件进行分析,发现文件嵌入了宏代码,作用是请求下载可执行文件并保存到本地,分析如下:

dcee8971b15dc1cad2faacbe24ed1b41

d6125415b69711901c6011d1394a863756f8b96950123ea21d38bf6867f47056对中毒文件进行了将宏代码删除,并保留原文件的操作。

注:第一次写实战入侵分析,有很多地方分析的不到位不全面,还请各位大师傅多多指点。

06a733e82a2268b6813e289f0cce57a3

本文来自投稿,不代表安强科技社区立场,如若转载,请注明出处:https://community.anqiangkj.com/archives/3428

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022年1月21日 下午6:16
下一篇 2022年1月21日 下午6:16

相关推荐

发表回复

您的电子邮箱地址不会被公开。