1. 前言
今天早上正忙着,上级领导通知,说态势感知发现2023-12-05 18:40:50 主机X.X.93.21遭受攻击,攻击者为X.X.0.7后迅速开展检查,核实确认。
2. 原因分析
这里我从态势感知上看是IP:X.X.93.21去攻击IP:X.X.0.7,这里我后来分析完下面才知道原因。
首先,我们内部是不对外开放的,也就是物理上隔离,同时内部策略都是我自己针对服务进行放通互相访问,基本上不存在外部能轻易的访问到内部,而这个地址是内到内,那就不经过想过的策略,而这里X.X.93.21去访问X.X.0.7是由于,X.X.0.7是之前做某个项目的时候设定的域服务,所以这个主机的DNS就是X.X.0.7,导致X.X.93.21去触发对外请求的时候,需要将流量中转到X.X.0.7,也就是这个原因导致出现攻击。
而且这个病毒查询了时间还是再若干年前,我干…至今没被触发,不知道前天是由于什么原因导致触发了,但确实通过态势感知查看,次数很少,只有两次,这事已经过去两天了,这两天期间并未再次出现。
3. 病毒处置过程
这里的处置过程,少了一张第一次使用杀毒软件直接查杀的结果,这个确实查到了麻辣香锅这个病毒了,结果被我手贱,直接点清除了,导致截图还没截。
3.1. 病毒分析过程
3.1.1. 域名分析
通过对域名进行分析,该域名指向的是一款为麻辣香锅病毒,而该病毒主要是用于篡改浏览器界面,实现广告宣传从中获取利益。
传播方式通过小马激活器、暴风激活器、KMS激活器等。
3.1.2. 浏览器影响范围
3.2. 病毒排查
3.2.1. 查看进程
这里通过进程发现存在一个为R的进程,通过匹配麻辣香锅病毒的特征,完全匹配,同时可以看到该进程下挂载一个名为JB52.exe的程序,这个程序名是随机的,但是我查了一下网上的资料好像多数都是J开头的。
这里查看创建时间21年,算了一下确实符合业主这边的电脑使用时间的范围,也就意味着这个病毒确实好长时间没有运行过了,有时候当初使用某个激活器激活后就删除了,可能连绑激活器,激活器不运行,这个程序可能也就不运行了吧。
3.2.2. 查看驱动模块
通过麻辣香锅病毒的其它特征在%localappdata%\Microsoft\WindowsApps下发现两个驱动模块,不过这里你们还可以去以下几个目录找找异常文件,这里面也会存在的:
恶意程序目录:C:\Users\admin\AppData\Local\Temp(有一个xiaoma.exe,还有一个R服 务对应的exe)
恶意驱动目录:C:\Windows\System32\drivers(四个随机名驱动)
恶意程序目录:C:\Users\admin\AppData\Local\Microsoft\Event Viewer(有四个exe需要删 除)
同时C:\Windows\System32\drivers下还发现两个异常模块,这两个模块我怎么看都不像,但是我发现我把R服务关闭后再删除,这两个也删除后,R服务虽然没启动,但是挂载的程序又出现,同时这两个时间也一直。
3.2.3. 执行模块
在麻辣香锅病毒的另外一个特征中发现4个执行模块,名为:wrme.exe、wdlogin.exe、wccenter.exe、wuhost.exe。
3.3. 病毒处理
这里最好进入电脑的安全模式来操作,因为在C:\Users\Administrator\AppData\Local\mlxg_km或者C:\Users\mlxg_km这两个文件夹中都是麻辣香锅的病毒,同时又是隐藏起来的,你关闭隐藏,依旧看不见,进入安全模式后直接删除这mlxg_km文件夹,由于我是远程,我就使用工具直接删除了,但是不保险呀!不过后面确实再次扫描,就没有扫描到这文件夹了。
3.3.1. 删除进程
将R进程删除,同时观察进程是否又自动重启,通过观察进程表,并未重启。
同时删除JB52.exe的程序。
3.3.2. 删除系统回调
3.3.2.1. 查看回调文件
使用pchunter查看系统回调,再去查看文件回调。
3.3.2.2. 删除回调文件
将这些回调文件都删除,同时删除回调文件的文件夹。
3.3.3. 删除异常筛选项
这里使用命令fltmc查看异常筛选项,再将这两个异常筛选项删除。
sc query R //搜索服务是否存在
sc stop R //停止服务
sc delete R //删除服务
3.3.4. 删除执行模块
这里将四个执行模块删除,这个模块就是调用模块启动的程序。
3.3.5. 专杀工具
这里再使用专杀工具对系统进行专杀一下,并未发现麻辣香锅病毒,这里我确实缺少了一个操作,就是火绒查杀前的截图,确实是查杀到了,忘记截图了。
4. 总结
这里我分析一下全过程,这个过程中确实,有不少是参考别人文章来处理的,不过,我发现,删除完后,依旧这些程序还是会存在,比如回调文件、执行模块都会存在,但是杀毒软件却查杀不出来。
可能是由于是有一定的随机性的,杀毒软件无法识别出来,但是主要目录确实都杀了。