双见银狐,是它,是它,就是它!银狐大哥又来新样本了!一、事件发现天眼监测发现有两个IP存在普通远控木马活动事件,多次请求解析多个恶意域名:time.googledns.io time.micrsofthost.com time.wkossclsaleklddeff.is time.secssl.com使用 DNSLookupView 看一下外连:发现 svchost.exe 一直在外连,查看浏览器记录,发现 2月11日下午15:38分访问了仿冒的搜狗浏览器:经过测试,该仿冒网址下载的样本为:Hfauibfolwrold.exe根据杀软识别到的记录可以找到:第一个为权限维持目录中的文件,第二个为落地木马删除后回收站的路径,第三个为压缩包解压时存放的temp文件,随机先将第二个和第三个木马删除。找到该目录发现目录不存在,推测为attrib命令设置了隐藏属性(现在银狐很喜欢这个啊),使用命令将其显示:里面有权限维持使用的文件:这里可以看到 libexpat.dll 的创建时间与下载仿冒搜狗浏览器的时间吻合:检测为恶意,为 DLL反射加载类型。二、木马二次利用木马在潜藏了两天后,于 2月13日
近期银狐木马有些猖獗。。。仿冒网站感觉更多了,隔段时间就会有一次告警。发现天眼告警:直接 todesk 上机排查:DNSLookupView 看一下外连:发现是 C:\Windows\System32\ipconfig.exe 一直在外连,直接拖下来,看是不是被替换掉了:好的,这个文件暂时没异常,应该是被劫持调用的。直接命令查看一下情况:目前进程 PID 是 16284,父进程 PID 是 16184,但在查的时候没有 PID 为 16184 的进程,父进程再启动后关闭了:这时候先终止 ipconfig.exe 的进程,随后不再外连,等待一会后也没有外联,随机将电脑重新启动,外联又开始了,这是可以排查启动项了,直接在任务管理器的启动任务里面找到了:展开后可以看到:就是他了,禁止他的启动,并且找到根目录:删除后重新启动,这次没有外联了。经过查询告警 IOC 域名和 IP,发现近期样本为 WPS:果然在下载目录找到了 1 月 29 日下载的银狐木马:在浏览器历史记录里面找到了下载地址:IOC:dashenbaba3.com27.124.10.18zh.wps-offce.cn样本:99aa
根据前辈所讲:🔹 4.1 木马概况中招后,会中 rootkit,会做 权限维持,会自身隐藏等中招后,没有重启过的机器,清除需杀掉所有中招后再启动的进程中招后,重启过的机器,在清除后,需要立马重启需要下载 busybox 来做清除目前看到的行为是 植入各种流量代理,用于挂机赚收益🔹 4.2 木马开始阶段大多为 暴力破解,成功后开始:检查当前系统是否是 x86_64 架构,如果不是则退出脚本。如果 /tmp 目录不存在,创建该目录并将权限设置为 777(即允许所有用户读、写和执行)。检查 /tmp 是否挂载了 noexec 选项(即不允许执行),如果是,重新挂载 /tmp 使其可以执行。移除 /tmp、/etc/cron 和 /etc/ld.so.preload 文件的不可更改属性。在 /tmp 下创建隐藏的目录 .perf.c 和 .xdia,这些可能是恶意脚本或工具的存放位置。通过 curl 下载一个文件(ordens.php)到 /tmp/httphxx。再通过 curl 将文件下载到 /tmp/httpd 目录中。最后执行。🔹 4.3 木马行为释放文件权限维持:a. 伪造自身为系统
【签到】和黑客去 Battle 把!随便聊一聊就吐出密钥了,直接提交: flag{H7Q44S85842W6TQZPERS72ED} 窃密排查 - 1连接服务器,进入 /tmp,发现程序,攻击者使用了 megacmd 直接查找 mega 相关文件:find / -name "*mega*" -o -name "*MEGA*" 2>/dev/null查看 megacmdserver.log 日志,查找关键字:cat ~/.megaCmd/megacmdserver.log* 2>/dev/null | grep -i "login\|user\|flag"flag: flag{25solar3abc@habenwir.com}溯源排查 - 1下载下来是一个 raw 镜像,直接使用 WSL 挂载并修改 root 密码:sudo mkdir /mnt/rootfs sudo mount -o loop,offset=$((512 * 2048)) disk.raw /mnt/rootfs sudo chroot /
易水哲
一个什么都会一点的白帽子
京公网安备11010802044340号