freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次简单的应急响应
2020-07-07 15:35:31

前言

在一个风和日丽的周六,正在为中午点什么外卖焦灼和痛苦时,急促的电话铃声响了起来,大表哥一句“怎么说”之后便开始眉头紧锁,一言不发。我就知道出事了。原来是某企业内网沦陷了,入侵现象简单告知为内网存在大量爆破行为,连专网都打。这波啊这波是肉蛋葱击。 

分析处置

内网存在非法外联,多种错误配置,未及时打补丁,杀毒软件未更新。由于病毒变种后自身会执行清理痕迹等操作,OA内网的网络环境混乱(DHCP),所以无法溯源,无法定位第一台受到入侵的机器。经分析发现,内网OA服务器上有驱动人生后门挖矿病毒,OMacro宏病毒。

处理方法:对内网所有主机断网后进行逐个排查并杀毒。杀毒后抓包没发现存在恶意行为,后接入内网交换机。

病毒简述

驱动人生病毒为挖矿病毒的一种,它通过 “永恒之蓝” 漏洞、暴力破解 SMB 服务等途径进行横向传播,随后释放挖矿木马进行挖矿操作。

以下给出驱动人生病毒相关文件:  (文件位置和功能和作用)

主程序
C:\Windows\system32\svhost.exe
C:\Windows\SysWOW64\svhost.exe
C:\Windows\system32\drivers\svchost.exe
C:\Windows\SysWOW64\drivers\svchost.exe

横向传播程序
C:\Windows\temp\svvhost.exe
C:\Windows\temp\svchost.exe

后门程序。
C:\Windows\system32\wmiex.exe
C:\Windows\SysWOW64\wmiex.exe

任务管理器伪装程序。
C:\Windows\system32\drivers\taskmgr.exe
C:\Windows\SysWOW64\drivers\taskmgr.exe

mimikatz 程序:从 Windows 系统内存中提取明文密码、哈希、PIN 码和 Kerberos 凭证,以及 pass-the-hash、pass-the-ticket、build Golden tickets 等数种黑客技术
C:\Windows\temp\m.ps1mimikatz 

结果。
C:\Windows\temp\mkatz.ini

“永恒之蓝” 漏洞横向传播产生的脚本文件。
C:\Windows\temp\p.bat

“永恒之蓝” 漏洞横向传播的主程序。
C:\installed.exe

主程序的更新文件。
$env:temp\update.exe

分析传播手段部分截图

在OA服务器上抓包捕获到内网机器146.16.67.**9对146.16.67.**4发起了smb登录请求并成功登录,通过日志可以看到执行了恶意命令,作用是请求外部地址下载病毒文件。   

1595475962.jpg!small

2.jpg2.jpg我们得到了一个C2地址,可以去情报平台查查到底是什么用途,有助于我们对病毒的了解。

1595475999.jpg!small

初步确定这是一起挖矿病毒的入侵,后开始针对挖矿病毒进行取证。

C:\Windows\Temp 目录中发现横向传播程序文件svchost.exe

2.jpg

病毒会安装多个恶意服务项,不仅限于WebSever等

2.jpg

永恒之蓝漏洞传播,mimikatz抓取hash进一步域渗透

1595476029.jpg!small1595476168.jpg!small

创建多个恶意进程,可以看到有大量成功smb爆破的日志

1595476072.jpg!small

漏洞横向传播的主程序及PS脚本等。

1595476084.jpg!small

简单查杀后,发现还是存在攻击行为。发现是变种病毒,会自动创建备份文件夹等用于病毒程序的植入的检测和复活。

2.jpg大部分主机被植入了后门,破坏者实现远控进行挖矿,会造成数据泄露,占用大量资源,业务无法进行等严重后果。

后记

取证结束后交由运维师傅使用专杀工具杀毒后,内网无smb爆破行为,业务正常后。原以为结束了,可半天后打电话告知有100多个宏病毒告警。1e098a326a3ec9c7c59b20100674d78.jpg

对多个病毒文件进行分析,发现文件嵌入了宏代码,作用是请求下载可执行文件并保存到本地,分析如下:

1e098a326a3ec9c7c59b20100674d78.jpg1.png

对中毒文件进行了将宏代码删除,并保留原文件的操作。

注:第一次写实战入侵分析,有很多地方分析的不到位不全面,还请各位大师傅多多指点。

# 木马 # 恶意软件 # 灰产圈
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者