事件背景
深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒,病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信过程,找出恶意进程,并进行病毒木马清除。
事件排查过程以及结果
根据TDA报送的告警事件,恶意回调的域名为amnsreiuojy.ru,感染终端为:x.x.x.14,详细信息为:
将域名丢进威胁情报查一波:
为找出该恶意进程,进行如下操作: