相信有认真关注我们公众号的小伙伴都看出来了,这是一系列介绍顺丰网络安全DFIR(数字调查与事件响应)平台从0到1实践之路的连载文章。如果你还没看过前面文章,为了可以更快速吸收本篇文章的精髓部分,笔者建议先从第一篇开始往后追。
-
第一篇:《浅谈网络安全事件调查那些事》
-
本篇:《Velociraptor实践-KoiMiner排查》
前面几篇介绍了事件调查响应的生命周期和方式,Velociraptor是什么(一款网络安全事件调查平台),顺丰网络安全选择使用Velociraptor来实现事件调查响应工程化的原因,以及Velociraptor的部署和基础操作。
• 本文仅简单演示排查KoiMiner木马过程,未分析病毒文件、未溯源;关于该木马更详细情况请参考文章: 《KoiMiner挖矿木马变种入侵,超5000台SQL Server服务器被控制》;
• 本文主要演示Velociraptor在实际调查过程中可以用到的思路和方法,思路方法并不唯一,可以根据需要灵活调整;
• 默认认为阅读该文档读者已具备初步使用Velociraptor能力。
一、背景
“嘀嘀嘀,嘀嘀嘀”,安全响应平台的一条告警通知响起,显示某终端出现了异常活动,我立刻打开安全监控平台,查看了相关告警详细信息。
A new process has been created.:: SYSTEM: MSEDGEWIN10$: WORKGROUPLogon ID: 0x3E7:: NULL SID: -: -Logon ID: 0x0:: 0x179c: C:WindowsSystem32attrib.exe: %%1936: Mandatory LabelSystem Mandatory Level: 0x2270: C:WindowsHelpcsrss.exeProcess Command Line: "C:WindowsSystem32attrib.exe" C:WindowsHelplsass.exe -s -r -a -h
二、排查
1.1 从告警记录中的Creator Process ID字段可得知Pid是8816(0x2270);使用Windows.System.Pslist工件获取进程列表信息:
1.3此时找到父进程PID=632,添加VQL的Pid为632的条件,进一步确认父进程详情:
此时可以确认父进程是一个正常的进程。
2.1. 使用SFDFIR.Windows.System.Services查找进程所对应的服务:
执行SFDFIR.Windows.EventLog.Process工件,获取进程启动历史记录,从历史记录中查找SC命令进程调用:
2. 恶意程序csrss.exe创建了两个服务:
"C:WindowsSystem32sc.exe" create wmiApServs binpath= "C:Windowssystemcsrss.exe -p" displayName= "WMI Performance Adaptnr" start= auto"C:WindowsSystem32sc.exe" create wmiApSrvs binpath= "C:WindowsHelpcsrss.exe -s" displayName= "WMI Performance Adaptor" start= auto
3. 恶意程序csrss.exe执行了以下命令:
??C:Windowssystem32conhost.exe 0xffffffff -ForceV1 2"C:ProgramDataMicrosoftWindows Defenderplatform4.18.2203.5-0MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges -Reinvoke 1"C:WindowsSystem32attrib.exe" C:WindowsHelpn.exe -s -r -a -h 1"C:WindowsSystem32attrib.exe" C:WindowsHelpc.exe -s -r -a -h 1"C:WindowsSystem32net1.exe" stop wmiApSrvs 1"C:WindowsSystem32sc.exe" delete wmiApSrvs 1"C:WindowsSystem32net1.exe" stop wmiApServs 1"C:WindowsSystem32sc.exe" delete wmiApServs 1"C:WindowsSystem32cacls.exe" C:WindowsHelpcsrss.exe /e /g everyone:f 1"C:WindowsSystem32cacls.exe" C:WindowsHelpcsrss.exe /e /g system:f 1"C:WindowsSystem32attrib.exe" C:WindowsHelpcsrss.exe -s -r -a -h 1"C:WindowsSystem32cacls.exe" C:Windowssystemcsrss.exe /e /g everyone:f 1"C:WindowsSystem32cacls.exe" C:Windowssystemcsrss.exe /e /g system:f 1"C:WindowsSystem32attrib.exe" C:Windowssystemcsrss.exe -s -r -a -h 1"C:WindowsSystem32cacls.exe" C:WindowsHelplsass.exe /e /g everyone:f 1"C:WindowsSystem32cacls.exe" C:WindowsHelplsass.exe /e /g system:f 1"C:WindowsSystem32attrib.exe" C:WindowsHelplsass.exe -s -r -a -h 1"C:WindowsSystem32attrib.exe" C:WindowsHelpcsrss.exe +a +h +s +r 1"C:WindowsSystem32sc.exe" create wmiApSrvs binpath= "C:WindowsHelpcsrss.exe -s" displayName= "WMI Performance Adaptor" start= auto 1"C:WindowsSystem32sc.exe" description wmiApSrvs "Provides performance library information from Windows Management Instromentation" 1"C:WindowsSystem32attrib.exe" C:Windowssystemcsrss.exe +a +h +s +r 1"C:WindowsSystem32net1.exe" start wmiApSrvs 1"C:WindowsSystem32sc.exe" create wmiApServs binpath= "C:Windowssystemcsrss.exe -p" displayName= "WMI Performance Adaptnr" start= auto 1"C:WindowsSystem32sc.exe" description wmiApServs "Provides performance library information from Windows Management Instromentations" 1"C:WindowsSystem32net1.exe" start wmiApServs 1
-
2022-05-31T02:29:15Z IEUser打开资源管理器
-
2022-05-31T02:44:46Z 启动cmd
-
2022-05-31T02:45:16Z 执行恶意程序”c:test样本csrss.exe”
-
2022-05-31T02:45:54Z 创建wmiApSrvs服务
注:本篇报告为实验环境中搭建的失陷主机中挖矿病毒的演示场景,仅供内部响应人员DFIR的分享培训使用,非攻击事件。
原文始发于微信公众号(顺丰安全应急响应中心):用迅猛龙解锁“5分钟排查可疑告警主机”新技能!
