近期银狐木马有些猖獗。。。仿冒网站感觉更多了,隔段时间就会有一次告警。
发现天眼告警:
直接 todesk 上机排查:
DNSLookupView 看一下外连:
发现是 C:\Windows\System32\ipconfig.exe 一直在外连,直接拖下来,看是不是被替换掉了:
好的,这个文件暂时没异常,应该是被劫持调用的。
直接命令查看一下情况:
目前进程 PID 是 16284,父进程 PID 是 16184,但在查的时候没有 PID 为 16184 的进程,父进程再启动后关闭了:
这时候先终止 ipconfig.exe 的进程,随后不再外连,等待一会后也没有外联,随机将电脑重新启动,外联又开始了,这是可以排查启动项了,直接在任务管理器的启动任务里面找到了:
展开后可以看到:
就是他了,禁止他的启动,并且找到根目录:
删除后重新启动,这次没有外联了。
经过查询告警 IOC 域名和 IP,发现近期样本为 WPS:
果然在下载目录找到了 1 月 29 日下载的银狐木马:
在浏览器历史记录里面找到了下载地址:
IOC:
- dashenbaba3.com
- 27.124.10.18
zh.wps-offce.cn
样本:
- 99aa364f8da0dd5d082fc91e394546192ec88c088e26da337ff2a57f9d73b5db
- 56fd3b6f1a6c0dd6cc71abf85fd27ecbdc91e03e12b1d1d319fb1f742450f84d
- 1bde730e860760c59db530893734d4f365c743c77e2ab091567ae1a79b25819e
京公网安备11010802044340号