记一次实战银狐排查应急

记一次实战银狐排查应急

一、引言

​ 在当今的网络环境中，恶意流量的威胁日益严重，企业面临的网络安全风险也不断升级。某日，客户收到一条来自安全监测平台的通报：一台内部主机资产存在可疑的恶意通信行为。通报指出，该主机的通信流量特征属于银狐木马，且通信端口固定。此类行为不仅可能导致数据泄露，还可能影响整个网络的安全性和稳定性。

​ 为确认是否存在误报或潜在的安全威胁，立即赶往现场展开深入排查。本次排查的核心目标是：验证恶意流量的真实性、确定其来源及影响范围，并制定有效的应对措施。通过系统化的分析和验证，我们不仅需要判断通报是否准确，还需要确保客户网络的整体安全得到有效保障。

​ 本文将通过详细记录此次排查的全过程，分享应急响应中的实践经验，为类似事件的处置提供参考和指导。（本文内容均是靶机复现，并无泄露任何信息）

二、排查过程

​ 通过通报内容，首先查看目标通信是否存在，受害主机为win10操作系统，直接使用netstat查看相关进程。

发现确实符合通报内容，IP、端口均为通报内容。

通过pid进一步锁定该进程的运行程序，使用任务管理器或者火绒剑均可。

进一步发现文件具有隐藏属性，怀疑为恶意文件，继续查看文件签名。

发现签名为正常文件，应该是做了相关免杀。

尝试结束进程，查看通信是否可以关闭（考虑具有再生功能）等待几秒发现杀死进程没用

产生了新的进程，证实想法，具备再生功能，同时发现在windwos文件下，有两个相同文件。

首先紧急断网处理，使用wireshark抓包查看数据包具体内容，发现程序在断网情况下不断在解析域名

将域名放入在线的威胁中心进行查询。

ok，毋容置疑，木马实锤。

​ 先扔沙箱跑一跑

​

实锤，通过多个程序相互调用，来达到恶意外联。

三、处置过程

​ 首先这种臭名昭著的组织的木马都有一个共同点，免杀，难杀，可能会有传染性，但是根据判断，可能是某个软件中带的，估计传染性不大。

​ 排查是否设置后门，具体排查内容，后门用户、注册表、开机自启、计划任务等。

• 后门用户

  

  继续排查注册表，防止隐藏用户。

  注册表位置：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account

  

• 开机自启、计划任务检查

  在火绒剑中发现存在存在开机自启动、计划任务启动（可能就是杀不掉的原因）

  

  

  全部禁止后，再结束进程尝试是否可以关闭。

尝试删除木马文件，删除成功后，恢复网络，发现并未存在恶意通信进程了。

完美收工！！！

四、总结

​ 基于个人水平有限（逆向就是小白），所以无法分析出具体流量内容，通过wireshark抓包可以看到的是流量为加密，解密估计不太可能，所以就只能通过逆向分析软件，才能判断出具体是在干什么操作。现在可以分析到的就是，这个软件可能是在公共网络中传播的，例如：微信、QQ、破解软件、恶意网址等，受害者下载软件，导致引发软件启动，软件启动后在C:\Windows下创建一个新的隐藏文件夹，通过添加自启和计划时间来达到免杀，另外我私下测试了下，如果软件出于运行状态，开启市面主流杀毒软件，杀毒软件都会被直接禁止，所以还是有点强的这个免杀马，值得深入学习。

​ 另外写这篇文章就是为了记录一下，毕竟是属于真实环境（文章中展示的是虚拟机，并没有信息泄露！！！），欢迎有同行大佬可以一起讨论，一起学习。