| 关键词: 文件 木马 腾讯 排查 恶意 加载 通过 方式 域名 DLL |
接收到了上级发来的通知说内网有服务器中了CS木马,经过排查是在2022年中的CS木马,红队通过钓鱼方式获取到了集团的用户主机权限,通过计划任务开机自启动方式将Windows白名单程序加载恶意DLL文件实现权限维持与免杀天擎。 0x01 信息收集因为我是第一次去受害者集团做应急处置,对集团内部的环境不太了解,所以在接收到应急处置电话后立即对集团开展了信息收集:
0x02 现场排查与处置
通过WireShark抓包工作进行流量取证发现外连腾讯API域名,
![]() 继续使用火绒剑抓取流量查看是哪个程序发起的外连请求。 ![]()
![]() 这里先介绍一下MpCmdRun.exe这个文件,它是自带Windows数字签名的,主要功能是Microsoft Defender 防病毒中执行各种功能,所以一般杀软都不会杀它,这就导致了它过免杀的主要原因之一。 但是它加载了一个MpClient.dll文件,它才是木马病毒的主体! 将MpCmdRun.exe拉到虚拟机双击发现需要加载MpClient.dll文件 ![]()
![]()
![]()
![]()
![]() ![]()
0x03 应急响应事件结论用户主机被钓鱼植入木马病毒,通过计划任务自启动Windows白名单文件加载恶意DLL文件后使用云函数方式外连腾讯API域名实现了隐匿C2真实地址。
|
| 本文出处: https://www.toutiao.com/article/7274770105475613218/ |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|