应急实战(14)：巧妙的恶意程序

admin管理员组

文章数量:1794759

应急实战(14)：巧妙的恶意程序

1. Preparation

1.1 开启日志记录

开启sysmon日志记录

1.2 优化日志策略

优化security日志覆盖策略

1.3 部署安全产品

部署长亭牧云hids主机安全产品

2. Detection

2.1 安全产品告警

还好告警聚合到了1分钟，不然本次攻击造成的告警风暴将直接把我DDOS疯掉（好像已经疯了）

只有C:\ProgramData\2HIf.exe一个程序，但由不同进程频繁执行，这才导致了告警风暴

从进程树可以看到，首先是启动了xtgosqhl.exe的进程，然后才执行了2HIf.exe的进程

这在后续排查中起到了关键作用，因为2HIf.exe进程的存活时间太短了，根本看不到相关进程

这正是攻击者的巧妙之处：消失的2Hif.exe进程、隐藏的xtgosqhl.exe文件、高频的QQMusic后门（后面会讲）。如果不是hids告警，可能都没法知道服务器中毒了。

3. Containment

3.1 终止xtgosqhl.exe相关恶意进程与告警

先xtgosqhl.exe，后2Hif.exe。因为2Hif被xtgosqhl打开，会无法删除

先kill进程，再del文件。因为文件被进程打开，会无法删除

找不到恶意程序C:\ProgramData\xtgosqhl.exe

去掉xtgosqhl.exe的系统、隐藏、存档、只读属性后，才能删除

此处由于计划任务后门每分钟会执行一次（后面会讲），导致xtgosqhl.exe进程又起来了，需要再终止一次进程，才能删除恶意程序

3.2 终止2HIf.exe相关恶意进程与告警

找不到C:\ProgramData\2HIf.exe相关的恶意进程，但是可以直接删除恶意程序2HIf.exe，这也说明了相关恶意进程的存活时间很短

4. Eradication

4.1 删除自启程序后门

使用Autoruns发现2个自启程序后门

可在Autoruns中删除

也可到注册表中删除

4.2 删除计划任务后门

使用Autoruns发现计划任务后门

无限期地每隔1分钟重复一次，太狠了，必须删除

对于这俩后门，总感觉缺点什么，没有低频拉高频，也没有下载恶意程序。

而是把宝全部押在xtgosqhl.exe的隐藏程序和高频进程上，一旦被发现并删除，这俩后门也跟着没用了。

4.3 删除系统帐号后门

发现新建的系统帐号，从上次登录时间看，不一定与此次事件相关，但也需要删除

4.4 加固系统弱口令漏洞

排查攻击者是否通过爆破系统弱口令获得系统权限，但是security日志被删了，可恶啊

万幸的是，sysmon日志还在。不幸的是，sysmon日志未优化日志覆盖策略，由于本次事件的攻击行为过多，导致初始入侵日志被覆盖了，可恶啊

牧云hids的暴力破解，也只有4天前存在爆破成功记录，仅靠时间线无法佐证与本次事件相关，可恶啊

但Administrator帐号确实存在弱口令，需要修改

5. Recovery

不涉及

6. Follow-Up

6.1 优化日志策略

优化sysmon日志覆盖策略

为什么之前只优化了security日志覆盖策略，没优化sysmon的呢？

因为《应急实战(8)：一次平平无奇的应急》事件只导致了security日志被覆盖，没导致sysmon日志被覆盖，看来是Follow-Up的深度不够呀。

本文参与 腾讯云自媒体同步曝光计划，分享自微信公众号。原始发表：2024-10-23，如有侵权请联系 cloudcommunity@tencent 删除优化程序进程日志系统

本文标签： 应急实战(14)巧妙的恶意程序