双见银狐,是它,是它,就是它!银狐大哥又来新样本了!一、事件发现天眼监测发现有两个IP存在普通远控木马活动事件,多次请求解析多个恶意域名:time.googledns.io time.micrsofthost.com time.wkossclsaleklddeff.is time.secssl.com使用 DNSLookupView 看一下外连:发现 svchost.exe 一直在外连,查看浏览器记录,发现 2月11日下午15:38分访问了仿冒的搜狗浏览器:经过测试,该仿冒网址下载的样本为:Hfauibfolwrold.exe根据杀软识别到的记录可以找到:第一个为权限维持目录中的文件,第二个为落地木马删除后回收站的路径,第三个为压缩包解压时存放的temp文件,随机先将第二个和第三个木马删除。找到该目录发现目录不存在,推测为attrib命令设置了隐藏属性(现在银狐很喜欢这个啊),使用命令将其显示:里面有权限维持使用的文件:这里可以看到 libexpat.dll 的创建时间与下载仿冒搜狗浏览器的时间吻合:检测为恶意,为 DLL反射加载类型。二、木马二次利用木马在潜藏了两天后,于 2月13日
近期银狐木马有些猖獗。。。仿冒网站感觉更多了,隔段时间就会有一次告警。发现天眼告警:直接 todesk 上机排查:DNSLookupView 看一下外连:发现是 C:\Windows\System32\ipconfig.exe 一直在外连,直接拖下来,看是不是被替换掉了:好的,这个文件暂时没异常,应该是被劫持调用的。直接命令查看一下情况:目前进程 PID 是 16284,父进程 PID 是 16184,但在查的时候没有 PID 为 16184 的进程,父进程再启动后关闭了:这时候先终止 ipconfig.exe 的进程,随后不再外连,等待一会后也没有外联,随机将电脑重新启动,外联又开始了,这是可以排查启动项了,直接在任务管理器的启动任务里面找到了:展开后可以看到:就是他了,禁止他的启动,并且找到根目录:删除后重新启动,这次没有外联了。经过查询告警 IOC 域名和 IP,发现近期样本为 WPS:果然在下载目录找到了 1 月 29 日下载的银狐木马:在浏览器历史记录里面找到了下载地址:IOC:dashenbaba3.com27.124.10.18zh.wps-offce.cn样本:99aa
根据前辈所讲:🔹 4.1 木马概况中招后,会中 rootkit,会做 权限维持,会自身隐藏等中招后,没有重启过的机器,清除需杀掉所有中招后再启动的进程中招后,重启过的机器,在清除后,需要立马重启需要下载 busybox 来做清除目前看到的行为是 植入各种流量代理,用于挂机赚收益🔹 4.2 木马开始阶段大多为 暴力破解,成功后开始:检查当前系统是否是 x86_64 架构,如果不是则退出脚本。如果 /tmp 目录不存在,创建该目录并将权限设置为 777(即允许所有用户读、写和执行)。检查 /tmp 是否挂载了 noexec 选项(即不允许执行),如果是,重新挂载 /tmp 使其可以执行。移除 /tmp、/etc/cron 和 /etc/ld.so.preload 文件的不可更改属性。在 /tmp 下创建隐藏的目录 .perf.c 和 .xdia,这些可能是恶意脚本或工具的存放位置。通过 curl 下载一个文件(ordens.php)到 /tmp/httphxx。再通过 curl 将文件下载到 /tmp/httpd 目录中。最后执行。🔹 4.3 木马行为释放文件权限维持:a. 伪造自身为系统
发现天眼告警直接 tdesk 上机排查:1、木马情况:如果你用火绒处理掉这个,病毒还会再次启动,并且会在 C:\Windows\System32\ 目录下面挑选几个进程进行劫持外连: 形如:sihost.exeRuntimeBroker.exetaskhostw.exe使用 ProcessExplorer 查了半天,没发现什么有用信息。 通过对比正常电脑上面三个进程的线程,我感觉还是这个 dll 有点问题:ntdll.dll,但没什么证据,暂且不表。2、确认木马最初告警时间:7月22日早8点桌面有个异常快捷方式,一看,好家伙:C hrome(是的,有一个空格)。打开目标位置,和告警日期符合。 再打开浏览器的下载页面,确认为 仿冒的谷歌浏览器: https://xxxxx.com/file/ChromeCore_1344_6.1.7.6.exe?auth_key=xxxxx(没有可用的 auth_key 的话是下载不下来的) 可以看到这里是木马大本营了。同时,也发现了 C:\Windows\System32\ 下面有很多恶意的 bat: 打开一个,可以看到恶意内容: 启
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号