与“性感荷官”的那些事儿... ...

点击蓝字
与“性感荷官”的那些事儿... ...
关注我们

性感洞庭人,在线发文(嘶哈嘶哈)

01 故事起源

依稀记得,那是给客户应急后的一个寒冷冬夜。望向出租车窗外,漫天飘浮着自由的白色晶体。

“晚来天欲雪,能饮一杯无?”

“能!”新来的实习生小兄弟倒是爽快得狠。

酒足饭饱,正在回味,猛然听到他说什么“性感美女”。这我不就来劲啦!仔细一聊,原来是们老师在上网课,共享屏幕的时候弹出个清凉美女。好家伙,原来是种“美女”(呜呜呜,悲伤辣么大)

与“性感荷官”的那些事儿... ...

感谢我们组同事的激情cos~

大家电脑开机后右下角是否出现过“性感荷官在线发牌”、“是兄弟就来砍我”的小弹窗,重启十几次他依然在你开机不久后出现。

其实在Windows系统中,我们经常可以看到一些软件开机之后会自动运行,并且无需手动双击启动。

此类软件的主要实现方式是通过系统提供的一些机制包括驱动、服务、任务计划,以及用户登陆时运行的程序等。

在Windows操作系统中有超过200个文件系统和注册表位置可以被程序用来配置为自启动,这些位置通常被叫做自动启动延展点(Autostart Extensibility Point),也就是ASEP

在Windows系统中有提供msconfig.exe和services.msc工具,可以向用户展示部分自动启动项,但所显示的内容并不完整。

为了方便排查恶意程序,在我们日常分析中可以使用“Autoruns”等更专业的工具去发现系统哪些ASEP被使用,通过工具去快速排查系统中的恶意程序。

本文主要以微软官方的“Autoruns”工具辅助,对启动项排查进行分享。

02 初步探索

以任务计划排查为例,任务计划程序(Task Scheduler),也称计划任务,是Microsoft Windows中的一个组件,是最常用的启用项之一,也是木马病毒喜欢使用的启动项之一。比如“驱动人生木马”会在系统的任务计划中创建多个计划任务,实现挖矿、攻击等不同的功能。

作为安全人员,我们主要关心的是每一条任务计划操作的“启动程序”。Windows自身有提供命令和图形化界面进行操作,但是其查看视角不利于安全排查。

为了方便排查,我们可以使用“Autoruns”等工具进行排查。

与“性感荷官”的那些事儿... ...

打开“Autoruns”工具,跳转到“Schedule Tasks”选项卡,我们可以看到计算机上所有的任务计划以行列的形式进行排列,可以清晰的看到我们需要的任务计划名称、镜像文件路径,以及文件的数字签名状态。

通过该工具可以观察到存在一些标记为粉红的任务计划,表示该计划任务“Image Path"路径对应的文件数字签名不可用。

与“性感荷官”的那些事儿... ...

因为大多数木马程序是没有正规的数字签名,我们这个利用这一点快速排查可疑的启动项。同时可以在资源管理器中通过Image Path找到对应的可以文件,然后上传到微步的云沙箱进行分析。

通过微步云沙箱多引擎扫描、静态分析、动态分析、流量分析、情报关联等多维检测服务,进行快速研判。

与“性感荷官”的那些事儿... ...

使用“Autoruns”工具初步排查时为了避免干扰,快速定位可疑项。

可以在“Options”菜单栏中,勾选前三个选项,“Hide Empty Locations”隐藏为空的ASEP、“Hide Microsoft Entries”隐藏文件属性中公司字段包含“Microsoft”的ASEP、“Hide Windows Entries”隐藏文件属性中公司字段包含“Microsoft”并且在%windir%目录的ASEP。

但“Hide Microsoft Entries”和“Hide Windows Entries”可以被轻松绕过,所以我们初步排查之后还需要去掉这两项的隐藏,再进行一次排查。

与“性感荷官”的那些事儿... ...

切换到“Everything”选项卡,我们可以看到包括“Schedule Tasks”等所有存在的ASEP自启动项。

与“性感荷官”的那些事儿... ...

对于已经确定的可以自启动项,我们可以使用在该自启动项上右键,点击Delete进行删除。删除后该文件在Tasks目录下的xml文件也会被删除。并且进入资源管理器跟进Image Path找到对应的PE文件并删除。

与“性感荷官”的那些事儿... ...

03 专业人士

Autoruns自带一个启动项对比功能,可以帮助我们快速对比运行病毒前后的启动项信息是否有新增。我们在自己本地沙箱中建立好环境后,通过Autoruns先保存一份启动结果文件至“source.arn”,然后再创建快照。

与“性感荷官”的那些事儿... ...

与“性感荷官”的那些事儿... ...

分析恶意样本时,在样本运行结束后可以使用Autoruns自带的对比功能(File->Compare)与之前“source.arn”进行对比,这样可以快速知道样本文件是否存在启动项信息。

与“性感荷官”的那些事儿... ...

与“性感荷官”的那些事儿... ...

04 知识拓展


通过Autoruns工具我们可以发现系统的大部分ASEP都存储在系统的注册表中,所以当我们已经定位到一场进程但是无法找到对应的启动项时,也可以在注册表中搜索进程的名称,说不定会有意想不到的发现。


05 参考文献


《Windows Sysinternals实战指南》

https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns

- END -

微步在线应急响应团队为企业客户提供应急响应服务。当企业遭遇突发重大安全事件(APT攻击、勒索加密、数据窃取、漏洞攻击、主机被控等),微步在线可提供快速事件定位取证、隔离清除、溯源分析、安全加固等专业安全服务,帮助企业信息系统在最短时间内恢复正常工作,将事件影响降到最低。
如果发生安全事件,可联系微步在线应急响应团队,联系方式:4000301051
与“性感荷官”的那些事儿... ...
转发,点赞,在看,安排一下?


1. 内容转载,请微信后台留言:转载+转载平台

2. 内容引用,请注明出处:以上内容引自公众号“微步在线应急响应团队”

原文始发于微信公众号(微步在线应急响应团队):与“性感荷官”的那些事儿... ...

版权声明:admin 发表于 2022年11月17日 上午8:31。
转载请注明:与“性感荷官”的那些事儿... ... | CTF导航

相关文章

暂无评论

暂无评论...