攻防演练 | 分享一次应急处置案例
2023-9-2 12:24:24 Author: 白帽子左一(查看原文) 阅读量:16 收藏

免费&进群

接收到了上级发来的通知说内网有服务器中了CS木马,经过排查是在2022年中的CS木马,红队通过钓鱼方式获取到了集团的用户主机权限,通过计划任务开机自启动方式将Windows白名单程序加载恶意DLL文件实现权限维持与免杀天擎。

0x01 信息收集

因为我是第一次去受害者集团做应急处置,对集团内部的环境不太了解,所以在接收到应急处置电话后立即对集团开展了信息收集:

  1. 集团内部无安全设备,无态势感知与防火墙,所以只能选择上机排查;

  2. 接收到的CS木马外连是一个域名,这里看到的是一个腾讯域名,立马联想到了可能利用的是云函数+域前置技术隐匿C2地址;

  3. 受害机不是服务器而是办公用户笔记本,从这点可以主要排查应该是红队通过钓鱼拿到的主机权限;

  4. 受害机系统信息收集包括收集系统版本、系统架构等,为了应急处置工具的准备和流程;

0x02 现场排查与处置

异常现象确认
通过抓包分析主机被植入木马病毒,访问腾讯API域名,根据外连域名的主程序溯源为svchost.exe,继续分析最终为MpCmdRun.exe发起的,该文件会加载路径下的mpClient.dll文件,这个是最终的CS木马,下面会逐一进行分析。

通过WireShark抓包工作进行流量取证发现外连腾讯API域名,

恶意域名:service-baw5g4iz.1309608249.bj.apigw.tencentcs.com

继续使用火绒剑抓取流量查看是哪个程序发起的外连请求。

发现svchost.exe发起外连请求,联想一下红队可能利用钓鱼的方式构造恶意的exe文件后拿到权限后,再次通过其他的方式(无文件落地、DLL注入)进行权限维持。
利用这些方式进行权限维持大部分都离不开注册表+启动项+计划任务+服务这几种方式,按顺序逐步排查即可。最终在计划任务中发现了一个看似很正常的文件,而这个文件就是木马病毒的加载器。

这里先介绍一下MpCmdRun.exe这个文件,它是自带Windows数字签名的,主要功能是Microsoft Defender 防病毒中执行各种功能,所以一般杀软都不会杀它,这就导致了它过免杀的主要原因之一。 但是它加载了一个MpClient.dll文件,它才是木马病毒的主体!

将MpCmdRun.exe拉到虚拟机双击发现需要加载MpClient.dll文件

然后再将MpClient.dll拉到VT上查杀DLL发现报毒

再将病毒HOME目录记录时间点进行取证,在2022年8月5日生成该文件

为了更加确认该DLL文件为病毒主程序,使用火绒剑继续分析取证。在MpCmdRun.exe自启动后加载恶意DLL文件,svchost.exe开始外连腾讯API恶意C2地址。

将mpclient.dll恶意文件放到微步云沙箱查看.


最后删除MpCmdRun.exe计划任务启动项,将mpclient.dll文件进行清除即可。

0x03 应急响应事件结论

用户主机被钓鱼植入木马病毒,通过计划任务自启动Windows白名单文件加载恶意DLL文件后使用云函数方式外连腾讯API域名实现了隐匿C2真实地址。

原文地址: https://www.freebuf.com/defense/376292.html

声明:⽂中所涉及的技术、思路和⼯具仅供以安全为⽬的的学习交流使⽤,任何⼈不得将其⽤于⾮法⽤途以及盈利等⽬的,否则后果⾃⾏承担。所有渗透都需获取授权

@
学习更多渗透技能!体验靶场实战练习

hack视频资料及工具

(部分展示)

往期推荐

给第一次做渗透项目的新手总结的一些感悟

「登陆页面」常见的几种渗透思路与总结!

突破口!入职安服后的经验之谈

红队渗透下的入口权限快速获取

攻防演练|红队手段之将蓝队逼到关站!

CNVD 之5000w通用产品的收集(fofa)

自动化挖掘cnvd证书脚本

Xray捡洞中的高频漏洞

实战|通过供应链一举拿下目标后台权限

实战|一次真实的域渗透拿下域控(内网渗透)

看到这里了,点个“赞”、“再看”吧


文章来源: http://mp.weixin.qq.com/s?__biz=MzI4NTcxMjQ1MA==&mid=2247599787&idx=1&sn=7c335cdee90c1aea11ea3a754d4d7bdc&chksm=ebeb0f86dc9c8690afae2a47fbd0657548119b228817c6ba9e2d289ebee6c71f6bd25d51778b&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh