Windows應急響應-灰鴿子遠控木馬

竹等寒發表於2024-10-01

目錄
  • 應急背景
  • 木馬查殺
    • 1.檢視異常連線
    • 2.根據埠號檢視對應程序檔案
    • 3.排查異常服務
    • 4.發現啟動項
    • 開始查殺
  • 入侵排查
    • 1.賬號排查
    • 2.檢視服務
    • 3.檢視啟動項
    • 4.檢視計劃任務
    • 5.網路情況
    • 6.程序排查
    • 重啟再排查一遍

應急背景

歷某今天剛入職公司,拿到公司電腦後準備下載一些接下來工作中要用的辦公軟體,他就去某度上直接搜尋,由於剛入職,興奮的他並沒有仔細看是否為官方下載,下載下來後也是無視風險雙擊安裝,但是他發現安裝完成後,安裝包自動消失,且在電腦上也沒有對應的程式可啟動,他這時候意識到可能是中病毒木馬了,喊來安全人員竹某來幫他排查一下。
竹某瞭解情況後開始下面的應急操作。

木馬查殺

1.檢視異常連線

#findstr "ESTABLISHED"表示檢視已建立連線的ip&&埠
netstat -ano | findstr "ESTABLISHED"

在這裡插入圖片描述
正常真實背景中需要拿ip去檢視歸屬地是否屬於公司的,但是這裡我自己搭建的環境就忽略了。

2.根據埠號檢視對應程序檔案

在這裡插入圖片描述

開始查詢程序檔案,這裡直接用windows查詢沒找到,只找到一個類似的,那麼基本可以確定做了一個檔案隱藏,這時候只能上工具了。
在這裡插入圖片描述
這裡本來是要用xuetr,但是xuetr在我這個win7中用不了了,如果能用的話最好還是上xuetr,這個工具還是挺吊的,但是現在網上好像找不到,沒了。
我們可以使用PChunter這款工具能看到隱藏的檔案,同時還能幫你排查程序,PChunter用的比較多,還是挺牛的,但是後面排查程序這些我會更多的用其他工具來輔助,因為最近在瞭解學習其他工具。
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
開啟PChunter後其實你也會發現他存在沒有官方簽名的程序模組,再次印證了他的可疑性。
在這裡插入圖片描述
在這裡插入圖片描述

然後就可以定位檔案了
在這裡插入圖片描述
然後來到下圖位置,這裡就能看到檔案了
在這裡插入圖片描述
這裡先不刪除,先右鍵複製出來,保留樣本
在這裡插入圖片描述
丟到沙箱上跑,就可以確定是木馬後門了。
在這裡插入圖片描述

線索卡
1.已確定了木馬後門以及他的檔案路徑

3.排查異常服務

接下來我會使用Process Hacker和微軟自帶的Process Explorer
Process Hacker工具分享地址:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
Process Explorer工具分享地址(微軟的也可以到官網下載):
https://pan.baidu.com/s/1hipHkotl7-B-N9XfmRhmnQ?pwd=hb2s
在這裡插入圖片描述
在這裡插入圖片描述
開啟Process Hacker可以看到這個檔案下面還開了一個子程序IE,現在就很明確了,幹掉這個就行,但是為了方便起見可以根據這個程序找到所有相關檔案

可以優先排除有簽名校驗的
在這裡插入圖片描述
在這裡插入圖片描述

發現依舊是這個可疑程序之後,我們取消掉排除已簽名的程序,這樣可以看到更多,可以看到我們的Process Hacker找到的也是這個程式檔案,取消取出簽名校驗,檢視全部可以看到同樣sec520下面還有一個子程序ie。
在這裡插入圖片描述
接著右鍵這個父程序sec520,看到有服務,那就跳轉到服務中檢視
在這裡插入圖片描述
咋一看居然是windows,這裡就不能隨意判斷了
在這裡插入圖片描述
我們右鍵檢視屬性
在這裡插入圖片描述
開幕雷擊,直接就看到瑕疵了,要是木馬修改了這個描述我還真一下子分不清楚
在這裡插入圖片描述

線索卡
1.已確定了木馬後門以及他的檔案路徑
2.程序存在對應的服務,服務名為windows

4.發現啟動項

為了更進一步驗證我們的判斷,我再用上Process Explorer工具
這裡開啟檢視方便看到更多資訊,下面是我開啟的選項列,根據需求自定義。
在這裡插入圖片描述
然後可以看到驗證簽名中依舊是對應之前的那個程式檔案有異常
在這裡插入圖片描述
接著我們發現最右邊看到了還存在自啟動項,還有給出了對應的登錄檔的位置(工具給的是HKEY開頭,但其實是下面這個登錄檔位置):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
在這裡插入圖片描述
怕刪不徹底的話還可以藉助另一個工具:
Autoruns工具分享連結:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
開啟這個工具可能稍稍需要等待一會,他需要掃描時間。
你會看到確實存在自動啟動項。
在這裡插入圖片描述

線索卡
1.已確定了程序、木馬後門以及他的檔案路徑
2.程序存在對應的服務,服務名為windows
3.存在自啟動項

開始查殺

1.刪除程序和檔案可以直接PChunter一步搞定,注意這裡是因為我們確定了這個不是系統自帶的才能刪除,有的他是依賴在系統exe檔案,所以刪除要慎用。
在這裡插入圖片描述

(如果你希望手動刪)首先先手動停掉程序才能刪除檔案,命令如下

taskkill /PID 2276 /F

接著刪除檔案,使用PChunter刪除
在這裡插入圖片描述

2.刪除服務
先前用Process Hacker定位到了服務,肯定也能進行刪除,Process Hacker會刪的比較徹底。
在這裡插入圖片描述
如果不給用工具的話就在windows上搜尋服務,然後找到對應異常服務刪除即可。

3.刪除啟動項
這裡我刪完服務後發現啟動項也已經刪掉了,看來Process Hacker還是挺吊的,下圖是之前截圖,如果你發現還有異常啟動項的話就需要刪除。
在這裡插入圖片描述
然後排查是否還有異常連線,發現已經幹掉了,而且沒有繼續建立連線
在這裡插入圖片描述

入侵排查

這一步是彌補在木馬查殺中沒有顧及到的,因為應急肯定是比較著急的,先解決了頭部問題,然後這裡接下去就要處理後門了。\

1.賬號排查

使用命令檢視(賬戶做了隱藏的話該命令基本看不到)

net user

可以右鍵計算機管理排查異常使用者
在這裡插入圖片描述
檢視普通使用者和使用者組是否異常
(即:普通使用者是否加入了管理員組之類的異常)
這裡一切正常
在這裡插入圖片描述
排查是否存在克隆賬號,手工檢視
win+r輸入regedit開啟登錄檔,接著找到以下位置:\

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

如果SAM打不開就右鍵他,把管理員許可權設定為完全控制
在這裡插入圖片描述
Names賬戶中的型別值對應上面的賬戶資料
fuck賬戶
在這裡插入圖片描述
administrator賬戶
在這裡插入圖片描述
接著對比一下資料,發現是一樣的,那麼就是存在克隆賬號了
在這裡插入圖片描述
在這裡插入圖片描述
更多真實情況是駭客會偽造一個讓你容易混淆的賬號,一般不會起名字像fuck這種名字,那麼我們知道是克隆賬號後,和運維溝通一下直接刪除掉即可。
直接在登錄檔裡面刪除的話,不要使用系統命令直接刪,這樣可能會損壞被克隆的那個好的賬戶,我就踩這個坑了。
登錄檔中找到fuck賬戶還有對應的資料,右鍵都刪除即可。
在這裡插入圖片描述

同時也可以使用D盾工具來檢視是否存在克隆賬號
D盾工具分享連結(也可以去官網下載):
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
D盾中發現克隆賬號,右鍵刪除即可
在這裡插入圖片描述

如果D盾刪不掉的話,同樣直接在登錄檔刪除是最好的。

接著順便檢視一下有沒有開啟遠端桌面連線,跟同事溝通一下應該是不開啟的,直接關掉即可。
在這裡插入圖片描述

2.檢視服務

服務就使用PChunter來檢視,著重看沒有廠商簽名的
在這裡插入圖片描述
由於我們之前的後門服務是Windows名字,所以要再看下是否又重新啟動或者沒有刪乾淨。
這裡需要知道系統服務跟以下的登錄檔幾個專案相關

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

我們去檢視這三個是否有windows後門相關,因為之前後門服務名字叫做windows,但其實是灰鴿子後門。
都檢視完成後發現確實刪乾淨了,不存在後門服務
在這裡插入圖片描述


PS:註明一下
不建議使用PChunterAntoruns來刪除,刪不乾淨,實測發現這兩貌似只會將登錄檔中主要資料的刪除,剩下另外的幾個目錄項還有殘留。
比如autoruns中剩下三個目錄項都沒刪乾淨,可能autoruns只能刪除開機自啟相關的,只能繼續手工將其殘留項刪除。
在這裡插入圖片描述

3.檢視啟動項

啟動項可以用Autoruns和PChunter看,著重看沒有廠商簽名的
在這裡插入圖片描述
系統資料夾檢視啟動項
在這裡插入圖片描述
同時定位到資料夾中使用PChunter直接看有沒有隱藏檔案
在這裡插入圖片描述
發現沒有隱藏檔案,啟動項正常
在這裡插入圖片描述
接著win+r輸入gpedit.msc,檢視組策略,這裡也可以看到有沒有啟動指令碼
在這裡插入圖片描述

還可以繼續排查一下注冊表對應的啟動項
在這裡插入圖片描述

4.檢視計劃任務

win+r輸入taskschd.msc,開啟計劃任務,一切正常
在這裡插入圖片描述

5.網路情況

檢視網路與埠情況,一切正常

netstat -ano

在這裡插入圖片描述


6.程序排查

可以透過PChunter等等工具進行二次排查,著重看sec520字眼,主要看是否又執行起來了。
檢視pid對應程式以及對應的服務名,一切正常

tasklist /svc

在這裡插入圖片描述


重啟再排查一遍

重啟再次檢視。
在這裡插入圖片描述
剩下的就是排查程序檔案是否又再生了,服務是否還在,對應的登錄檔中是否還殘留或者又再生,也就是說你之前查殺過程中遇到的異常情況都要再次排查一遍。
這裡省略過程只檢視了是否又對外連線了


這時候在不遠處的一位駭客發現他的灰鴿子放飛了,檢視確實沒有上線機器。
在這裡插入圖片描述


一切正常,收工。

相關文章