一、Windows隐藏账户处置
使用Windows2012虚拟机
一、使用命令行创建用户
1、打开命令行(cmd,以管理员身份运行),新建test$用户
net user test$ 123456 /add
net localgroup administrators test$ /add
建立一个test用户并加入管理员组
二、观察test$用户
1、使用系统计算机管理工具,鼠标右键win图标
发现可以看到test$用户
2、使用命令行查看用户
在命令行输入
net user
无法看到test$用户
三、导出test$和administrator用户注册表信息
1、打开注册表
命令行中输入
regedit
2、获取SAM项权限
刷新权限
3、导出test$用户信息
导出下面键为test.reg
这里0X3EA为随机值,每台主机都会不一样
HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\test$
4、导出test$的UID值
5、导出administrator的UID项
在windows下,administrator的UID固定为1F4
四、修改导出的注册表信息
1、将admin_id中的F值,复制到uid中的F值
编辑admin_id
复制F的值
编辑uid
粘贴F值
保存文件
五、删除test$用户,导入注册表
1、删除test$用户
使用下面命令
net user test$ /del
2、导入桌面上的 test 和 uid注册表文件
导入test
导入uid
六、查看隐藏账户
1、使用计算机管理,查看用户,并未发现test$
2、修改组策略,允许自定义用户登录
在命令提示符中输入
gpedit.msc
定位到安全选项,不显示最后的用户名
启用,确定
注销administrator用户
使用test$用户登录
输入用户名 test$
输入密码123456
登录成功
使用任务管理器,查看当前用户
二、浏览器劫持事件处置
原理:通过驱动级工具,发现驱动级病毒。清除病毒,恢复系统。
一、观察劫持现象
1、打开谷歌浏览器、发现浏览器首页域名为hp1.dhwz444.top
然后快速的会跳转到 hao123.com
2、打开IE浏览器,发现首页同样被劫持
二、尝试手动恢复浏览器首页
打开IE设置
选择Internet选项
使用新选项卡,点确定
关闭IE浏览器
再次打开IE浏览器,首页依然被劫持。
三、检查系统驱动
1、使用微软套件autoruns工具
打开桌面tools文件夹,打开autoruns64.exe
同意申明
autoruns打开后会列出系统所有的开机加载项。 重点关注红色项、黄色项,或签名有问题的项
如图,红框,标注的部分,显示为(Not verifiedt)Microsoft Corporation,说明这两个声称是微软的文件,但并没有获取微软的签名。
尝试删除这两个文件。
删除后刷新页面,发现这两个链接仍然存在。
再次删除,提示标记为已删除
四、重启计算机,看能否删除上面两个驱动级服务。
再次打开autoruns ,观察发现仍然存在这两个服务。可以推定这两个服务一定是“非正常的”
五、尝试删除文件
右键,选择jump to image,打开文件路径
发现无法直接看到文件
打开windows的隐藏文件与系统文件显示
查看 选项
如图设置
文件夹仍然为空。
此时可以断定此驱动服务为恶意程序。 且hook了系统的api,隐藏自身。
打开桌面PCHunter工具
查看驱动模块
可以发现PCHunter 检查驱动模块时,并没有校验签名,只是查看了文件信息。
记住这两个文件的路径,C:\USER\Administartor\AppData\Local\Microsoft\WindowsApps\
浏览文件,定位到这个路径
删除文件
观察发现无效 ,选中文件后,右键 “删除后阻止文件再生”
强制删除
强制删除目录
再次重启系统。打开IE浏览器或chrome浏览器,首页已经恢复正常
到此,我们解决了病毒的释放驱动,及其启动文件的删除。
接下来,进行注册表信息的清理,因为已删除相关文件,病毒对注册的表保护也没有了,直接删掉即
打开autoruns,删除相关注册表信息即可。
另一个也是同样删除。
这个实例就到这里啦!
三、沙箱分析浏览器病毒
一、使用微软的process monitor监测病毒运行
本病毒是一个借助激活工具,二次打包后劫持浏览器的病毒。
病毒名为"mlxg.exe",位于桌面mlxg文件夹中
打开微软的process monitor
双击打开,按图配置监控规则。
监控规则的含义是,监控进程名为mlxg.exe
点击OK
此时,我们还没有运行病毒,所以屏幕没有任何显示
二、运行病毒程序
双击mlxg.exe
三、查看precess monitor
可以看到mlxg进程对系统的操作,
先停止捕获信息,(如果捕获太多,会让软件有些卡顿)
点一下放大镜,停止捕获
重点关注新建注册表和新建文件,可以重点发现一些操作和目录
如
创建一个DLL文件
写临时文件
写驱动文件
写EXE文件
过滤注册表操作
写注册表操作,尝试建立一个GRE隧道
四、使用云沙箱分析样本
打开桌面chrome浏览器,输入域名s.threatbook.cn
上传我们的病毒样本
因为我们是64位系统,所以选win7 64,查看报告,
等待,系统分析完成,可以查看处置建议
等等一系列处理
再可以使用桌面的pchunter或其它类似工具,进行应急响应处置
四、勒索病毒处置
一、观察勒索病毒
登录系统,发现桌面背景提示
初步可以判断,系统已经中了勒索病毒
尝试用记事本,打开桌面的文本文档
双击记事本
发现文件被加密,是乱码
确定中了勒索病毒
通过桌面背景发现加密关键字
ENCRYPTED BY GANDCRAB 5.0.3
三、了解GRANCRAB勒索病毒
通常各大安全厂商有勒索病毒专区,如国际厂商kaspersky、bitdefender、avast、symantec,国内厂商Sangfor、360等
如Avast的
https://www.avast.com/zh-cn/ransomware-decryption-tools
如深信服的
http://edr.sangfor.com.cn/#/information/ransom_search
这里我们使用深信服的页面 搜索该病毒名
查看报告,该报告为5.2版本的病毒原理介绍,可以自行查看
四、尝试使用工具解密病毒
尝试去寻找不同的厂商的解密工具
在bitdefender寻找解密工具
在avast页面找到gandcrab的标签
下载软件
这里有很多不同版本的解密工具,为避免下载问题,实验环境中已经内置好解密工具。学员也可以自行尝试下载不同工具,尝试解密。
打开文件夹C:\USERS\download2\
双击运行软件BDGandCrabDecryptTool
同意许可
确定提示
选择要解密的文件夹,这里以桌面为例
开始解密
解密完成
再次查看桌面的记事本,已经解密成功。
目前能解密的勒索病毒只是少数,我们更多的是需要加强对勒索病毒的防御。如使用EDR软件进行保护,或加强系统补丁安装。
主流勒索病毒传播都是通过RCE漏洞或弱口令进行自动化攻击,针对这两点做好防御,加强主动防御。可防范勒索病毒。
五、挖矿病毒处置
原理:通过任务管理器、进程、启动项等对挖矿病毒进行处置
一、登录系统,查看任务管理器发现CPU占用满了,按CPU对进程排序
结束CPU占用高的进程
可以观察到 结束后,进程会重新自启动。确定有父进程。
转到进程详细信息
看到进程名为xmrig.exe
二、找到父进程
直接使用wmic工具
打开命令行
输入下面命令
wmic process where name='xmrig.exe' get caption,parentprocessid
找到父进程ID为864
三、查找父进程启动方式
将任务管理器按PID排序,找到864的进程
发现进程用户名为SYSTEM,通常SYSTEM用户是使用系统服务启动。查找系统服务
停用服务
停用服务后,发现xmrig.exe进程也停止。CPU利用率也降下来
四、处理文件和服务
此病毒仅使用服务加载,并没有hook系统函数,所以对文件和服务的处理相对较为容易
1、查看服务和文件
打开服务
双击服务名
记住服务名称和 可执行文件路径
2、删除文件
找到路径,删除文件夹 C:\USERS\Administrator\c3pool
删除后如图
3、删除服务
使用命令行删除服务
sc delete c3pool_miner
五、重启验证
重启后打开任务管理器,CPU占用已经下去,病毒已被清除。
结合wmic与任务管理器,处理了一个很普通的“矿机”病毒
通常挖矿病毒会占用大量CPU,所以会很直接的暴露自己,并不太需要使用驱动级或HOOK等隐藏方式。
挖矿病毒因为利益原因,通常也是自动传播,传播方式与勒索病毒相似,但病毒表现完全不同。具体传播原因多为RCE漏洞与弱口令。做好基础防护工作,可轻松应对。
这篇文章就写到这里了!
扫一扫
491
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
