本文介绍了在遭到黑客控制后,如何通过使用火绒安全、PCHunter等工具,排查隐藏任务、异常进程、隐藏账户及恶意服务项,以及执行删除和处置工作,来应对和清除维权操作的恶意软件。作者强调了实践经验在安全排查中的重要性。
一、实验背景
攻击者在拿下目标主机的控制权后,一般会进行一系列维持权限的操作,达到长久控制目标主机的目的。维权操作可能是植入后门程序,修改计划任务,定时任务,启动项和注册表等。
二、应急工具
这里只是一个推荐,大佬可以直接手工,锻炼自身能力
1.火绒安全、火绒剑
2.everything
3.D盾
4.PCHunter
三、排查思路
首先我们拿到被攻击的主机,看到有挑衅性质的弹窗,关闭之后又会重新弹出来。看到这种现象,猜测有可能是通过计划任务启动,或者是恶意进程自身存在拉起进程的功能。
1.通过查看任务管理器来确定运行着的异常进程。打开文件所在位置,查看文件修改时间,从而确定投毒时间,方便后续检查日志文件。
2.查看文件所在位置,发现文件被隐藏了。使用PCHunter查看隐藏文件,定位到fontdrvhost.exe文件,利用PCHunter去掉只读、隐藏和系统属性,就可以在文件夹查看到该文件了
3.提取该文件的md5值,放到微步中查,发现是可疑后门
4.结束该异常进程,弹窗消失,但是过了一段时间又弹出来了,猜测是因为计划任务设置了每分钟启动一次,查看计划任务,发现没有名为fontdrvhost的计划任务,那么有可能是进行了隐藏
隐藏计划任务我也是第一次听说,查了一下,有两种方式来查看隐藏任务:
方式一:在C:\Windows\System32\Tasks下查找是否存在恶意计划任务配置
方式二:
在以下注册表中查找,可以直接关键词查找,防止遗漏
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree5.攻击者攻击进来后,一般都会添加账号来进行维权操作。查看火绒安全日志,发现有创建隐藏账户的记录
输入lusrmgr.msc,查看用户和组,发现确实存在admin$这个隐藏账号
或者通过注册表查看,这里注意:需要给SAM完全控制的权限才能查看到用户
5.使用火绒排查异常服务项和计划任务,发现GoogleUpdate.exe,尝试运行(实际情况下一定不要直接运行,使用md5放到微步里搜一下),发现也会出现弹窗,除了图标不同外,和fontdrvhost.exe一样
6.其他项排查
映像劫持排查;驱动排查;网络排查;自启动文件夹
四、处置工作
1.删除隐藏用户
2.结束异常进程,删除对应文件,为了防止清除不完全,建议使用everything排查一下,别误删漏删
3.删除异常计划任务和服务项
4.删除注册表中排查出来的内容
五、总结
最近做了几个应急实验,各种类型的,无论是勒索、挖矿、rootkit还是这次的维权处置,我发现基本排查思路都是一致的,但是自己做起来仍然会有各种问题。如何确定异常进程,如何通过日志溯源,如何使用各种各样的工具,都需要慢慢积累经验,有了经验才能在排查过程中更快速、不遗漏的清除木马程序和溯源。
75
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
