首页 星云 工具 资源 星选 资讯 热门工具
:

PDF转图片 完全免费 小红书视频下载 无水印 抖音视频下载 无水印 数字星空

Windows应急响应-灰鸽子远控木马

编程知识
2024年10月01日 03:41

目录

应急背景

历某今天刚入职公司,拿到公司电脑后准备下载一些接下来工作中要用的办公软件,他就去某度上直接搜索,由于刚入职,兴奋的他并没有仔细看是否为官方下载,下载下来后也是无视风险双击安装,但是他发现安装完成后,安装包自动消失,且在电脑上也没有对应的程序可启动,他这时候意识到可能是中病毒木马了,喊来安全人员竹某来帮他排查一下。
竹某了解情况后开始下面的应急操作。

木马查杀

1.查看异常连接

#findstr "ESTABLISHED"表示查看已建立连接的ip&&端口
netstat -ano | findstr "ESTABLISHED"

在这里插入图片描述
正常真实背景中需要拿ip去查看归属地是否属于公司的,但是这里我自己搭建的环境就忽略了。

2.根据端口号查看对应进程文件

在这里插入图片描述

开始查找进程文件,这里直接用windows查找没找到,只找到一个类似的,那么基本可以确定做了一个文件隐藏,这时候只能上工具了。
在这里插入图片描述
这里本来是要用xuetr,但是xuetr在我这个win7中用不了了,如果能用的话最好还是上xuetr,这个工具还是挺吊的,但是现在网上好像找不到,没了。
我们可以使用PChunter这款工具能看到隐藏的文件,同时还能帮你排查进程,PChunter用的比较多,还是挺牛的,但是后面排查进程这些我会更多的用其他工具来辅助,因为最近在了解学习其他工具。
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
打开PChunter后其实你也会发现他存在没有官方签名的进程模块,再次印证了他的可疑性。
在这里插入图片描述
在这里插入图片描述

然后就可以定位文件了
在这里插入图片描述
然后来到下图位置,这里就能看到文件了
在这里插入图片描述
这里先不删除,先右键拷贝出来,保留样本
在这里插入图片描述
丢到沙箱上跑,就可以确定是木马后门了。
在这里插入图片描述

线索卡
1.已确定了木马后门以及他的文件路径

3.排查异常服务

接下来我会使用Process Hacker和微软自带的Process Explorer
Process Hacker工具分享地址:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
Process Explorer工具分享地址(微软的也可以到官网下载):
https://pan.baidu.com/s/1hipHkotl7-B-N9XfmRhmnQ?pwd=hb2s
在这里插入图片描述
在这里插入图片描述
打开Process Hacker可以看到这个文件下面还开了一个子进程IE,现在就很明确了,干掉这个就行,但是为了方便起见可以根据这个进程找到所有相关文件

可以优先排除有签名校验的
在这里插入图片描述
在这里插入图片描述

发现依旧是这个可疑进程之后,我们取消掉排除已签名的进程,这样可以看到更多,可以看到我们的Process Hacker找到的也是这个程序文件,取消取出签名校验,查看全部可以看到同样sec520下面还有一个子进程ie。
在这里插入图片描述
接着右键这个父进程sec520,看到有服务,那就跳转到服务中查看
在这里插入图片描述
咋一看居然是windows,这里就不能随意判断了
在这里插入图片描述
我们右键查看属性
在这里插入图片描述
开幕雷击,直接就看到瑕疵了,要是木马修改了这个描述我还真一下子分不清楚
在这里插入图片描述

线索卡
1.已确定了木马后门以及他的文件路径
2.进程存在对应的服务,服务名为windows

4.发现启动项

为了更进一步验证我们的判断,我再用上Process Explorer工具
这里打开视图方便看到更多信息,下面是我打开的选项列,根据需求自定义。
在这里插入图片描述
然后可以看到验证签名中依旧是对应之前的那个程序文件有异常
在这里插入图片描述
接着我们发现最右边看到了还存在自启动项,还有给出了对应的注册表的位置(工具给的是HKEY开头,但其实是下面这个注册表位置):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
在这里插入图片描述
怕删不彻底的话还可以借助另一个工具:
Autoruns工具分享链接:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
打开这个工具可能稍稍需要等待一会,他需要扫描时间。
你会看到确实存在自动启动项。
在这里插入图片描述

线索卡
1.已确定了进程、木马后门以及他的文件路径
2.进程存在对应的服务,服务名为windows
3.存在自启动项

开始查杀

1.删除进程和文件可以直接PChunter一步搞定,注意这里是因为我们确定了这个不是系统自带的才能删除,有的他是依赖在系统exe文件,所以删除要慎用。
在这里插入图片描述

(如果你希望手动删)首先先手动停掉进程才能删除文件,命令如下

taskkill /PID 2276 /F

接着删除文件,使用PChunter删除
在这里插入图片描述

2.删除服务
先前用Process Hacker定位到了服务,肯定也能进行删除,Process Hacker会删的比较彻底。
在这里插入图片描述
如果不给用工具的话就在windows上搜索服务,然后找到对应异常服务删除即可。

3.删除启动项
这里我删完服务后发现启动项也已经删掉了,看来Process Hacker还是挺吊的,下图是之前截图,如果你发现还有异常启动项的话就需要删除。
在这里插入图片描述
然后排查是否还有异常连接,发现已经干掉了,而且没有继续建立连接
在这里插入图片描述

入侵排查

这一步是弥补在木马查杀中没有顾及到的,因为应急肯定是比较着急的,先解决了头部问题,然后这里接下去就要处理后门了。\

1.账号排查

使用命令查看(账户做了隐藏的话该命令基本看不到)

net user

可以右键计算机管理排查异常用户
在这里插入图片描述
查看普通用户和用户组是否异常
(即:普通用户是否加入了管理员组之类的异常)
这里一切正常
在这里插入图片描述
排查是否存在克隆账号,手工查看
win+r输入regedit打开注册表,接着找到以下位置:\

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

如果SAM打不开就右键他,把管理员权限设置为完全控制
在这里插入图片描述
Names账户中的类型值对应上面的账户数据
fuck账户
在这里插入图片描述
administrator账户
在这里插入图片描述
接着对比一下数据,发现是一样的,那么就是存在克隆账号了
在这里插入图片描述
在这里插入图片描述
更多真实情况是黑客会伪造一个让你容易混淆的账号,一般不会起名字像fuck这种名字,那么我们知道是克隆账号后,和运维沟通一下直接删除掉即可。
直接在注册表里面删除的话,不要使用系统命令直接删,这样可能会损坏被克隆的那个好的账户,我就踩这个坑了。
注册表中找到fuck账户还有对应的数据,右键都删除即可。
在这里插入图片描述

同时也可以使用D盾工具来查看是否存在克隆账号
D盾工具分享链接(也可以去官网下载):
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
D盾中发现克隆账号,右键删除即可
在这里插入图片描述

如果D盾删不掉的话,同样直接在注册表删除是最好的。

接着顺便查看一下有没有开启远程桌面连接,跟同事沟通一下应该是不开启的,直接关掉即可。
在这里插入图片描述

2.查看服务

服务就使用PChunter来查看,着重看没有厂商签名的
在这里插入图片描述
由于我们之前的后门服务是Windows名字,所以要再看下是否又重新启动或者没有删干净。
这里需要知道系统服务跟以下的注册表几个项目相关

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

我们去查看这三个是否有windows后门相关,因为之前后门服务名字叫做windows,但其实是灰鸽子后门。
都查看完成后发现确实删干净了,不存在后门服务
在这里插入图片描述


PS:注明一下
不建议使用PChunterAntoruns来删除,删不干净,实测发现这两貌似只会将注册表中主要数据的删除,剩下另外的几个目录项还有残留。
比如autoruns中剩下三个目录项都没删干净,可能autoruns只能删除开机自启相关的,只能继续手工将其残留项删除。
在这里插入图片描述

3.查看启动项

启动项可以用Autoruns和PChunter看,着重看没有厂商签名的
在这里插入图片描述
系统文件夹查看启动项
在这里插入图片描述
同时定位到文件夹中使用PChunter直接看有没有隐藏文件
在这里插入图片描述
发现没有隐藏文件,启动项正常
在这里插入图片描述
接着win+r输入gpedit.msc,查看组策略,这里也可以看到有没有启动脚本
在这里插入图片描述

还可以继续排查一下注册表对应的启动项
在这里插入图片描述

4.查看计划任务

win+r输入taskschd.msc,打开计划任务,一切正常
在这里插入图片描述

5.网络情况

查看网络与端口情况,一切正常

netstat -ano

在这里插入图片描述


6.进程排查

可以通过PChunter等等工具进行二次排查,着重看sec520字眼,主要看是否又运行起来了。
查看pid对应程序以及对应的服务名,一切正常

tasklist /svc

在这里插入图片描述


重启再排查一遍

重启再次查看。
在这里插入图片描述
剩下的就是排查进程文件是否又再生了,服务是否还在,对应的注册表中是否还残留或者又再生,也就是说你之前查杀过程中遇到的异常情况都要再次排查一遍。
这里省略过程只查看了是否又对外连接了


这时候在不远处的一位黑客发现他的灰鸽子放飞了,查看确实没有上线机器。
在这里插入图片描述


一切正常,收工。

From:https://www.cnblogs.com/dhan/p/18442623
本文地址: http://www.shuzixingkong.net/article/2430
0评论
提交 加载更多评论
其他文章 Windows下安装Nessus 10.8.3安装破解教程
1、下载: 下载地址:https://www.tenable.com/downloads/nessus 浏览器访问 https://127.0.0.1:8834 重点:Register offline,选择“Managed Scanner”, 再选择 “Tenable security center
Windows下安装Nessus 10.8.3安装破解教程 Windows下安装Nessus 10.8.3安装破解教程 Windows下安装Nessus 10.8.3安装破解教程
USB和CAN都是用差分信号来传输数据,为什么CAN的传输距离能比USB远那么多?
USB和CAN的区别 今天在看USB项目设计实例的时候,突然想到一个问题,从而引发了一些思考。经过思考加上查阅资料,写出了这一篇文章作为记录。 问题 ​ USB和CAN都是用两条线作为差分线以差分信号进行数据传输。总所周知,差分信号有着很强的抗干扰能力。那为什么USB的一般传输距离是5米,最大是10
kali安装和升级
实验介绍: kali集成了世界上所有优秀的渗透测试工具 一:在VMware上安装 这里只详细介绍kali在VMware的安装,u盘和物理机上的安装不做详解 在kali官网下载kali镜像iso文件 下载好了以后新建虚拟机 选择之前下好的镜像文件 选择Linux系统 选择单个文件 设置配置 用键盘设置
kali安装和升级 kali安装和升级 kali安装和升级
Windows 中的硬链接、目录联接(软链接)、符号链接、快捷方式
在Linux文件系统中经常提及硬链接(Hard Link)和符号链接(Symbolic Link),Windows中也可以创建链接,但由于丰富的图形界面操作,很少提及链接。Windows 的 NTFS 文件系统支持三种链接:硬链接(Hard Link)、符号链接(Symbolic Link)和目录链
Windows 中的硬链接、目录联接(软链接)、符号链接、快捷方式 Windows 中的硬链接、目录联接(软链接)、符号链接、快捷方式 Windows 中的硬链接、目录联接(软链接)、符号链接、快捷方式
[python] 基于PyOD库实现数据异常检测
PyOD是一个全面且易于使用的Python库,专门用于检测多变量数据中的异常点或离群点。异常点是指那些与大多数数据点显著不同的数据,它们可能表示错误、噪声或潜在的有趣现象。无论是处理小规模项目还是大型数据集,PyOD提供了50多种算法以满足用户的需求。PyOD的特点包括: 统一且用户友好的接口,适用
[python] 基于PyOD库实现数据异常检测 [python] 基于PyOD库实现数据异常检测 [python] 基于PyOD库实现数据异常检测
七,MyBatis-Plus 扩展功能:乐观锁,代码生成器,执行SQL分析打印(实操详细使用)
七,MyBatis-Plus 扩展功能:乐观锁,代码生成器,执行SQL分析打印(实操详细使用) @目录七,MyBatis-Plus 扩展功能:乐观锁,代码生成器,执行SQL分析打印(实操详细使用)1. 乐观锁2. 代码生成器3. 执行SQL分析打印4. 总结:5. 最后: 1. 乐观锁 首先我们需要
七,MyBatis-Plus 扩展功能:乐观锁,代码生成器,执行SQL分析打印(实操详细使用) 七,MyBatis-Plus 扩展功能:乐观锁,代码生成器,执行SQL分析打印(实操详细使用) 七,MyBatis-Plus 扩展功能:乐观锁,代码生成器,执行SQL分析打印(实操详细使用)
掌握Docker:简化KES单机安装与管理的最佳实践
今天我们将继续深入探讨KES的单机安装,依然围绕Docker的使用展开。这一部分的内容将涵盖一些常见的陷阱以及在遇到问题时如何进行有效的反馈和解决。首先,我们需要找到官方的安装教程,确保以官方指南为主,同时结合我们自己的使用习惯。 为什么我们如此青睐Docker,而不是选择传统的命令行安装呢?在当今
掌握Docker:简化KES单机安装与管理的最佳实践 掌握Docker:简化KES单机安装与管理的最佳实践 掌握Docker:简化KES单机安装与管理的最佳实践
[rCore学习笔记 028] Rust 中的动态内存分配
引言 想起我们之前在学习C的时候,总是提到malloc,总是提起,使用malloc现场申请的内存是属于堆,而直接定义的变量内存属于栈. 还记得当初学习STM32的时候CubeIDE要设置stack 和heap的大小. 但是我们要记得,这么好用的功能,实际上是操作系统在负重前行. 那么为了实现动态内存
[rCore学习笔记 028] Rust 中的动态内存分配