应急实战(7)：oOCs恶意程序事件

目录

1. 短信告警

2. 恶意进程与程序

   1. 网络连接

   2. CPU占用

3. 后门

   1. 计划任务

   2. 自启服务

   3. 隐藏用户

   4. 自启程序

4. 漏洞

   1. 安全日志

一、短信告警

Windows服务器设置弱口令（帐号Administrator，密码P@ssw0rd），一天后就能收到失陷告警。

二、恶意进程与程序

2.1、网络连接

因为告警内容是存在对外攻击行为，所以登录服务器先netstat -nao查看网络情况。服务器很卡，内容是一个字符接着一个慢慢打印出来的，最终获得恶意进程的PID：4200。

进入任务管理器，在详细信息按PID排序后迅速定位到4200的oOCs.exe。

右键打开文件所在位置并按修改日期排序，发现修改时间是告警当天，且修改时间相近的文件还有mimikatz程序及其结果，由此判断oOCs.exe是恶意程序。

回到任务管理器选择4200进程右键结束任务或结束进程树终止掉恶意进程。

2.2、CPU占用

进入任务管理器，在详细信息按CPU排序后迅速定位到PID是2652的winlogon.exe占用了几乎所有CPU资源。

右键打开文件所在位置发现路径是C:\Windows\debug\m\winlogon.exe，不是常见路径，且m文件夹是隐藏属性，winlogon.exe文件创建时间也与攻击告警时间相近，由此判断winlogon.exe是恶意程序。

回到任务管理器选择2652进程右键结束任务或结束进程树终止掉进程。

三、后门

恶意程序oOCs.exe和winlogon.exe的进程终止后，会换个PID重新运行，说明有后门或守护进程。

3.1、计划任务

Windows+R使用taskschd.msc进入任务计划程序->任务计划程序库，发现两个创建时间都是2024/8/14 6:17:08的计划任务，内容是启动恶意程序C:\Windows\oOCs.exe和C:\Windows\MFCUYdF.exe（找不到了），且创建者都是隐藏用户HCSS-ECS-89A8$（找不到了）。此时禁用这两个计划任务即可。

3.2、自启服务

Windows+R使用msinfo32进入系统信息->软件环境->服务，基于路径排序，排除掉c:\windows\syswow64\、c:\windows\system32\等一般不会被攻击者用于自启服务的路径，发现异常自启服务Windows Management和Windows Updata。

进入任务管理器，在服务按名称排序后迅速定位到Windows Management和Windows Updata，此时右键停止这两个自启服务即可。

这时候就可以正常终止前面发现的恶意进程了，操作系统的网络连接与CPU占用也恢复正常了。

3.3、隐藏用户

Windows+R使用regedit进入注册表编辑器，在计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names未发现隐藏用户。

3.4、自启程序

Windows+R使用msconfig进入系统配置->启动，未发现自启程序。

四、漏洞

接下来排查攻击者是如何拿下服务器权限的，然后亡羊补牢修复漏洞，否则攻击者下次还是能够进来。

4.1、安全日志

Windows+R使用eventvwr进入事件查看器->Windows日志->安全，在筛选当前日志处筛选事件ID是4625的账户登陆失败日志，发现有13920条，说明RDP服务被暴力破解了。

在筛选当前日志处筛选事件ID是4624的账户登陆成功日志，发现攻击时间相近的登陆日志有7条，逐个查看登陆源IP地址，获得攻击者IP地址：218.201.135.122，是山东的兄弟。

原来攻击者是爆破Administrator用户的弱口令进来的，看来得立刻修改密码，免得攻击者再次来犯。