Windows應急響應-灰鴿子遠控木馬

freeflydom

2024年12月20日 9:35 本文熱度 763

應急背景

歷某今天剛入職公司，拿到公司電腦后準備下載一些接下來工作中要用的辦公軟件，他就去某度上直接搜索，由于剛入職，興奮的他并沒有仔細看是否為官方下載，下載下來后也是無視風險雙擊安裝，但是他發現安裝完成后，安裝包自動消失，且在電腦上也沒有對應的程序可啟動，他這時候意識到可能是中病毒木馬了，喊來安全人員竹某來幫他排查一下。
竹某了解情況后開始下面的應急操作。

木馬查殺

1.查看異常連接

#findstr "ESTABLISHED"表示查看已建立連接的ip&&端口
netstat -ano | findstr "ESTABLISHED"

正常真實背景中需要拿ip去查看歸屬地是否屬于公司的，但是這里我自己搭建的環境就忽略了。

2.根據端口號查看對應進程文件

開始查找進程文件，這里直接用windows查找沒找到，只找到一個類似的，那么基本可以確定做了一個文件隱藏，這時候只能上工具了。

這里本來是要用xuetr，但是xuetr在我這個win7中用不了了，如果能用的話最好還是上xuetr，這個工具還是挺吊的，但是現在網上好像找不到，沒了。
我們可以使用PChunter這款工具能看到隱藏的文件，同時還能幫你排查進程，PChunter用的比較多，還是挺牛的，但是后面排查進程這些我會更多的用其他工具來輔助，因為最近在了解學習其他工具。
PChunter工具分享地址：https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
打開PChunter后其實你也會發現他存在沒有官方簽名的進程模塊，再次印證了他的可疑性。

然后就可以定位文件了

然后來到下圖位置，這里就能看到文件了

這里先不刪除，先右鍵拷貝出來，保留樣本。

丟到沙箱上跑，就可以確定是木馬后門了。

線索卡：
1.已確定了木馬后門以及他的文件路徑

3.排查異常服務

接下來我會使用Process Hacker和微軟自帶的Process Explorer。
Process Hacker工具分享地址：
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
Process Explorer工具分享地址(微軟的也可以到官網下載)：
https://pan.baidu.com/s/1hipHkotl7-B-N9XfmRhmnQ?pwd=hb2s

打開Process Hacker可以看到這個文件下面還開了一個子進程IE，現在就很明確了，干掉這個就行，但是為了方便起見可以根據這個進程找到所有相關文件。

可以優先排除有簽名校驗的

發現依舊是這個可疑進程之后，我們取消掉排除已簽名的進程，這樣可以看到更多，可以看到我們的Process Hacker找到的也是這個程序文件，取消取出簽名校驗，查看全部可以看到同樣sec520下面還有一個子進程ie。

接著右鍵這個父進程sec520，看到有服務，那就跳轉到服務中查看

咋一看居然是windows，這里就不能隨意判斷了

我們右鍵查看屬性

開幕雷擊，直接就看到瑕疵了，要是木馬修改了這個描述我還真一下子分不清楚。

線索卡：
1.已確定了木馬后門以及他的文件路徑
2.進程存在對應的服務，服務名為windows

4.發現啟動項

為了更進一步驗證我們的判斷，我再用上Process Explorer工具
這里打開視圖方便看到更多信息，下面是我打開的選項列，根據需求自定義。

然后可以看到驗證簽名中依舊是對應之前的那個程序文件有異常

接著我們發現最右邊看到了還存在自啟動項，還有給出了對應的注冊表的位置(工具給的是HKEY開頭，但其實是下面這個注冊表位置)：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

怕刪不徹底的話還可以借助另一個工具：
Autoruns工具分享鏈接：
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
打開這個工具可能稍稍需要等待一會，他需要掃描時間。
你會看到確實存在自動啟動項。

線索卡：
1.已確定了進程、木馬后門以及他的文件路徑
2.進程存在對應的服務，服務名為windows
3.存在自啟動項

開始查殺

1.刪除進程和文件可以直接PChunter一步搞定，注意這里是因為我們確定了這個不是系統自帶的才能刪除，有的他是依賴在系統exe文件，所以刪除要慎用。

（如果你希望手動刪）首先先手動停掉進程才能刪除文件，命令如下

taskkill /PID 2276 /F

接著刪除文件，使用PChunter刪除

2.刪除服務
先前用Process Hacker定位到了服務，肯定也能進行刪除，Process Hacker會刪的比較徹底。

如果不給用工具的話就在windows上搜索服務，然后找到對應異常服務刪除即可。

3.刪除啟動項
這里我刪完服務后發現啟動項也已經刪掉了，看來Process Hacker還是挺吊的，下圖是之前截圖，如果你發現還有異常啟動項的話就需要刪除。

然后排查是否還有異常連接，發現已經干掉了，而且沒有繼續建立連接

入侵排查

這一步是彌補在木馬查殺中沒有顧及到的，因為應急肯定是比較著急的，先解決了頭部問題，然后這里接下去就要處理后門了。\

1.賬號排查

使用命令查看(賬戶做了隱藏的話該命令基本看不到)

net user

可以右鍵計算機管理排查異常用戶

查看普通用戶和用戶組是否異常
(即：普通用戶是否加入了管理員組之類的異常)
這里一切正常

排查是否存在克隆賬號，手工查看
win+r輸入regedit打開注冊表，接著找到以下位置：\

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

如果SAM打不開就右鍵他，把管理員權限設置為完全控制

Names賬戶中的類型值對應上面的賬戶數據
fuck賬戶

administrator賬戶

接著對比一下數據，發現是一樣的，那么就是存在克隆賬號了

更多真實情況是黑客會偽造一個讓你容易混淆的賬號，一般不會起名字像fuck這種名字，那么我們知道是克隆賬號后，和運維溝通一下直接刪除掉即可。
直接在注冊表里面刪除的話，不要使用系統命令直接刪，這樣可能會損壞被克隆的那個好的賬戶，我就踩這個坑了。
注冊表中找到fuck賬戶還有對應的數據，右鍵都刪除即可。

同時也可以使用D盾工具來查看是否存在克隆賬號
D盾工具分享鏈接(也可以去官網下載)：
https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott
D盾中發現克隆賬號，右鍵刪除即可

如果D盾刪不掉的話，同樣直接在注冊表刪除是最好的。

接著順便查看一下有沒有開啟遠程桌面連接，跟同事溝通一下應該是不開啟的，直接關掉即可。

2.查看服務

服務就使用PChunter來查看，著重看沒有廠商簽名的

由于我們之前的后門服務是Windows名字，所以要再看下是否又重新啟動或者沒有刪干凈。
這里需要知道系統服務跟以下的注冊表幾個項目相關：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

我們去查看這三個是否有windows后門相關，因為之前后門服務名字叫做windows，但其實是灰鴿子后門。
都查看完成后發現確實刪干凈了，不存在后門服務