翻滚吧!病毒君

翻滚吧!病毒君

年后复工,MSF给了我下发了新的打怪任务——给两台客户主机进行病毒的查杀(相关主机已被客户做了简单的断网处理)于是年后第一场外出务工之旅就这样开始了。

翻滚吧!病毒君

由于以前只是使用MSF攻击模块中的MS17-010打过靶机,至于怎么进行主机病毒查杀工作就没有深究了。所以这次项目后,我感觉公司的安全理念(以攻促防)在我的身上就成了一个笑话。

翻滚吧!病毒君

首先对第一台主机的病毒开始查杀,还是按照Windows应急响应手册那一套来的,把账户(正常)、进程(感觉正常)、注册表(正常)、端口(没毛病啊)、计划任务(没有)和日志信息(有异常登录)等等都挨个查了一遍,感觉也妹有找到啥恶意文件的线索啊。

由于客户已经对主机做了断网处理,所以在网络连接里也找不到病毒的扫描活动。且自己还挺菜的(对病毒攻击流程不熟悉),所以也没有找到那些奇奇怪怪的恶意文件。

这就是最恐怖的地方了,上面告诉你我的机器出问题了,你却排查不出来问题所在,我就问你流不流汗。

翻滚吧!病毒君

最后只能上安全软件进行病毒查杀了,可是作为文件服务器的主机系统版本有点上年龄了,装来装去hrxxx安全卫士,xxx斯基,x盾里只有卫士和盾能装上去,其它的都不兼容当前的系统版本。且X盾啥也扫不出来,只能慢慢等待xxx卫士龟速一样的去扫描(一直扫到了下班都没有结果😡)。

翻滚吧!病毒君

第二天起个大早上班去看看龟速卫士给我扫描出的结果,看到的第一眼:好家伙,搁着养蛊呢?

翻滚吧!病毒君

等我冷静下来分析了一下才发现这么多文件都在同一个文件夹下:NetworkDistribution,里面有永恒之蓝、永恒冠军等漏洞利用工具,判断NetworkDistribution文件夹是一个工具模块。

翻滚吧!病毒君

其它病毒文件还有Mssecsvc.exe:释放自身中的资源文件到C:Windowstasksche.exe tasksche.exe本应该是勒索程序,但此变种的该程序在主流的windows操作系统上运行出错,从而没有进行勒索行为。

翻滚吧!病毒君

翻滚吧!病毒君

翻滚吧!病毒君

如果C:Windowstasksche.exe存在,mssecsvc.exe会将其更名为C:Windowsqeriuwjhrf。由于客户的主机不断感染此类病毒,所以tasksche.exe文件是和qeriuwjhrf同时存在的。

翻滚吧!病毒君

可以看到两个文件的HASH是一样的

翻滚吧!病毒君

哦吼!!!!!

翻滚吧!病毒君

感觉安全软件扫出的东西也挺多,想想它应该能轻松对它进行查杀,于是点击了一键处理。

翻滚吧!病毒君

可万万没想到,主机在杀完病毒重启系统后,病毒的工具模块(NetworkDistribution)在两个小时后再次出现在了Windows目录下(不讲武德)。

翻滚吧!病毒君

在后续对C://windows目录下的文件监控中发现有一个叫dllhostex.exe恶意程序在反复横跳。

翻滚吧!病毒君

dllhostex.exe它在嘲讽我!!!!!!!!

翻滚吧!病毒君

根据其提示的路径去相关目录下寻找该文件,结果是没找到(应该是反复横挑的速度太快了,导致文件夹下没有)。但是可以猜到这不是什么正常程序(事实证明的确是这样),一定还有什么进程或服务在不断加载dllhostex.exe

翻滚吧!病毒君

既然程序名字有点特别,我还是浏览器找一下吧

翻滚吧!病毒君

搜索结果说它是一个挖矿病毒外,对我没有任何价值,剩下的结果都是力推自家杀毒(我要是能安装我还在这排查?),能安装的就两个:X盾比较la,离线状态的XXX卫士也效果一般。

到底是啥还没杀掉才导致反复中毒啊,你在哪啊?!!!!!

翻滚吧!病毒君

黔驴技穷了,询问了公司大佬,大佬给了我三段字符串,让我自己去找找,说是C://Windows/目录下有个文件名是由下面的字符串随机生成的。

1.Windows|Microsoft|Network|Remote|Function|Secure|Application2.Update|Time|NetBIOS|RPC|Protocol|SSDP|UPnP3.Service|Host|Client|Event|Manager|Helper|System

翻滚吧!病毒君

于是我着重在C://windows/目录中寻找存在以上线索的.exe.dll文件,眼睛都给我看花了(客户电脑屏幕分辨率不太行,文件还多)

最终我在C://Windows/system32下找到了这个👇

翻滚吧!病毒君

Down下来扔进沙箱一看,好家伙,破案了,就是它!!!

翻滚吧!病毒君

翻滚吧!病毒君

于是我找到它的服务,将它停止掉,再把这个文件删除。之前删除过的工具模块不是又恢复了么,这次再删一遍。

翻滚吧!病毒君

一直到下班,也没有见病毒再次出现,哈哈哈哈哈哈!!!!

翻滚吧!病毒君

接下来一个主机的病毒查杀就相对轻松许多,因为中的病毒都一样。排查过程中仅有的区别就是在文件监控下没有找到dllhostex.exe的创建和删除记录,它反而出现在了进程里。

翻滚吧!病毒君

相应的也能在C://Windows/system32目录下寻找到dllhostex.exe文件,且能被安全软件成功查杀。

翻滚吧!病毒君

还有就是第二台主机C://Windows/system32目录下的文件名不再是RemoteSSDPEvent.dll了,而是MicorsoftNetBIOSSystem.dll

翻滚吧!病毒君

翻滚吧!病毒君

👆可以看到,主程序不但伪造了微软公司的签名,还伪造了最后修改日期,要是按照被攻击日期去排查相关文件,累死也找不到。

翻滚吧!病毒君

查杀过程与第一台主机类似:

1、先是停止C://Windows/system32MicorsoftNetBIOSSystem.dll文件对应的服务,删除该文件

2、再停止svchost.exe主进程下的dllhostex.exe子进程,删除dllhostex.exe文件

3、再停止svchost.exe主进程,删除XXX卫士识别出来的病毒文件

4、重启主机系统,观察主机后续的状况

翻滚吧!病毒君

完美!!!!!!!!至此两台主机的病毒查杀过程就这样结束了,收工下班,又是晚归的一天。

翻滚吧!病毒君

总结:

仔细回顾了一下整个分析过程,判断病毒的攻击方式如下:

RemoteSSDPEvent.dll/MicorsoftNetBIOSSystem.dll应该是一个病毒的主模块,它对应一个主服务(由系统进程svchost.exe加载),确保每次都能开机自启,启动后会将dllhostex.exe挖矿程序注入到该svchost.exe主进程中。

翻滚吧!病毒君

至于攻击程序怎么启动的?扫描是怎么进行的,推断是RemoteSSDPEvent.dll/MicorsoftNetBIOSSystem.dll调用了工具文件夹NetworkDistribution中的工具从而发起了扫描和漏洞攻击。

后续查资料发现是调用了spoolsv.exe,当spoolsv.exe通过扫描445确定好可以攻击的主机后,就会在C:WindowsNetworkDistribution 目录下释放病毒的漏洞攻击程序,同时启动svchost.exe  spoolsv.exe (均为伪装成正常文件名的病毒脚本)

翻滚吧!病毒君

此时 svchost.exe 会对收集到可进行攻击的目标主机执行 永恒之蓝(MS17-010) 漏洞进行攻击,成功后 spoolsv.exe 会对主机安装后门,加载 payload 文件 (x86.dll / x64.dll)

翻滚吧!病毒君

真是吃了不会逆向的亏,只能用沙箱一个文件一个文件的硬分析。

啥也不是,散会…………

翻滚吧!病毒君

翻滚吧!病毒君

原文始发于微信公众号(雁行安全团队):翻滚吧!病毒君

版权声明:admin 发表于 2024年3月6日 下午12:01。
转载请注明:翻滚吧!病毒君 | CTF导航

相关文章