如图所示,阿里报错为 疑似发现黑客工具,用everything搜索Experience.bat;并打开发现脚本如下:
同时,进入到目录下发现,四个文件,
在关掉rundll.exe进程后,目录中少了mmk.cto文件。
进入到 cd c:\ProgramData\Microsoft\Windows\ 下,复制了 copy c:\windows\system32\mimilsa.log ;运行了 up_rdp.exe; 这个程序估计是上传读取到用户密码,然后删除了日志文件;
并执行了 rundll32 Experience.dll main privilege::debug misc::memssp exit 命令;而通过对messp .cto等关键字的搜索,发现,
mimilsa.log 是MImikatz的日志;
.dll 动态链接库英文为DLL,是Dynamic Link Library的缩写。DLL是一个包含可由多个程序,同时使用的代码和数据的库。
.cto 是 Visual Studio的二进制命令表输出文件
在前一篇文章中,我们开始深入分析Mimikatz。我们的想法很简单,就是想澄清Mimikatz内部的工作原理,以便开发自定义和有针对性的payload。微软引入了一些安全控制机制(如Credential Guard),避免攻击者转储凭据信息。在本文中,我们将回顾一下绕过这种机制的巧妙方法,然后提取我们所需的凭据。这里我们想要分析的是Mimikatz所支持的SSP功能。
SSP(Security Support Provider)是一个DLL,允许开发者提供一些回调函数,以便在特定认证和授权事件期间调用。在前一篇文章中,我们可以了解到WDigest正是使用这个接口来缓存凭据。
Mimikatz为我们提供了利用SSP的其他一些不同技术。首先是“Mimilib”,这是具备各种功能的一个DLL,其中一个功能就是实现了SSP接口。其次是“memssp”,这是完成相同任务的另一种有趣方式,但这种方法需要patch内存,而不是单单加载DLL那么简单。
首先试一下以传统方式来加载SSP:Mimilib。
了了数语,就发现 Mimilib 是跟Mimikatz有关,并且是绕过微软的安全机制的巧妙方法,可以提取我们所需的凭据(账号密码)。
从而判定阿里检测出的这个警告是一系列的黑客攻击获取表单信息的行为。
然后再任务管理器中,发现rundell32.exe的进程,我们将其关闭,减小受损,其实信息已经泄露。
第二步 我们进去到 C:/Windows/SysWOW64/rundll32.exe 目录下,把其放到专门的安全网站上检测,https://s.threatbook.cn(微步云沙箱)上在线检测,本身来说,
rundll32.exe在windows中世存在的,是系统的文件,检测应该是安全的系统文件才对,但是结果显示未知,由此可知,此程序已经被修改。为非法的rundll32.exe。
如下图:
我们得目标是发现危险进程,结束它,第二步是找到它的来源,通过查看文件属性,其建立时间太过久远为2019.6.11号,
再通过D盾看计算机在对外的连接http的,也无法发现有可疑的连接。
通过cmd net user 命令也没看到可疑用户,
可能是运用了OA的漏洞,或者是邮件,或者是操作者的不慎下载了病毒,暂时我们无法分析出其来源。
到此为止,我们删除所有可疑文件,wget.exe 、 up_rdp.exe、 mmk.cto、 Experience.bat 、停用了rundll32.exe.以观后效。