奇安信攻防社区-基于被钓鱼主机的快速应急响应

基于被钓鱼主机的快速应急响应

作者:凝前言对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看...

作者:凝

前言

对于linux而言,除了rootkit,大部分的后门均可以使用工具快速排查,但是对于被钓鱼的终端,我们却很难进行有效排查,因此写这篇文章分享一下自己对于windows操作系统应急响应的一些看法和心得

首先说钓鱼,钓鱼无异于是进入内网最便捷有效的一种方式

一般来说,一个合格的木马是具备权限维持的一些功能,即添加计划任务或者自启动等等,这也为我们的应急响应增添了不少的难度

实验木马:

cs的免杀马+添加自启动

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702723022747-821ca89d-7a1c-4a5c-9a0a-ab108483e329.png)

我们运行改exe程序--&gt;弹框 同时cs上线

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702723044418-3b18ac81-9848-4f6a-b581-a6dedd575887.png)

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702723101055-6ad37ecc-413a-4589-980d-37942854d2c5.png)

接下来我们假装什么都不知道,对该电脑进行应急响应

#### 任务资源管理器

我们先说传统的一些套路,通过任务资源管理器查看

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702723202474-e81f0773-aa84-4b3f-be43-56bab09e35bc.png)

可以看到,在我们不进行操作的情况下,我们的恶意exe文件在任务资源管理器中几乎是难以发觉的

这里我仔细翻找了一下

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702723332294-45d7d74d-2869-4307-afcd-4244b19bf8d9.png)

但是想要在上百台机器中去定位他还是很有难度的,首先是任务资源管理器的不断跳到,其次上百上千个进程中,我们很难快速去定位到一个有问题的exe程序

#### 我们再说netstat -ano

这里截取部分,还是有很多外联

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702723536457-e9ac93f5-e4fa-47ec-8145-1230cf2aab9e.png)

这里我们可以借助工具快速分析

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702724818305-c0e9307d-3b22-4e16-9769-915628f07e72.png)

同时我们可以提取IP,然后丢人威胁情报平台判断是否有恶意ip,然后去定位恶意程序

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702724892467-4a362c0e-9b54-4a28-a17b-5eb9ae06b1ec.png)

#### TCPview

接下来介绍一下TCPview,一款非常好用的工具

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702726749503-2a4f5df4-d4b7-43df-99c7-7164c2f5e4bf.png)

双击即可运行

Process name：应用名称。

Process id：顾名思义是pid，代表进程ID。

Protocol：协议，分别是TCP或UDP。

State：状态。

Local Address：本地地址。

Local port：本地端口。

Remote address：远程地址。

Remote port：远程端口。

Create time：创建时间。

Module name：模块名。

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702726811859-130b8e5a-deca-4d51-9df8-9363cae40b5c.png)

可以看到效果非常的明显

比如说,我在这台PC端中找到了一个域管或者域用户的进程,我对其进行进程注入,就可以获取其凭证,这里我以lsass文件为例

提权之后我注入lsass进程

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702727106103-e523b035-4bc3-4cfd-923c-0cf8effa228e.png)

此时我们再通过TCPview进行分析

同时需要注意的是,cs的心跳特性,也就是sleep设置,在没有派发任务时是不会有外联提示的

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702731072293-42273afc-4382-4e3e-9ba5-97681d137ae3.png)

除此之外,在选定进程后,我们可以强制kill

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702732392648-da22e49a-0921-4937-9916-a51ec9c604aa.png)

#### 火绒剑分析外连

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702737370434-a0a732b5-87f8-4246-8df2-90d3c2c88ecc.png)

#### 进程链分析工具-Process Explorer

对于一个正常的exe来说,他的父进程应该是explort,但是当我们的exe上线后我们去执行一些命令

以cs为例,cs有两种方式:一种是shell 一种是run

首先我们要明白,shell走的是fork&amp;run的方式,在360晶核环境下可能直接死

而run方法则是在beacon内执行,缺点也很明显,如果run执行崩溃会导致

比如说我使用

shell whoami

他的调用链则是:QQ音乐补丁包.exe--&gt;cmd.exe--&gt;whoami.exe

因此实战中我们要避免shell的使用

比如说我这里用QQ音乐补丁包.exe去执行一个yun.exe

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702735522008-82c26b5e-ec77-4e53-bee4-fa248011b281.png)

然后我们使用工具去分析

Process Explorer

可以看到最上方的父进程都是explorer.exe

然后是我们的QQ音乐补丁包.exe,其子进程是yun.exe

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702735509438-14d506e5-fbc2-4105-bb54-26cf8d537dd0.png)

在真实环境中,我们一样可以通过分析恶意的进程调用链去定位可以的exe程序

#### 启动项分析

首先是用户层的自启动

```php
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
```

系统层面

```php
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\RunOnce
```

#### AutoRuns-启动项分析工具

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702732913503-60dcd9f4-f065-40aa-b80c-249423b17de3.png)

我们可以很明显的看到标红的地方--&gt;这里讲恶意的exe改名成了计划任务

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702732983415-22ab8034-97e1-4de3-8b2f-dc30e82d10d6.png)

#### 火绒剑

火绒剑也是分析启动项很好用的一款工具

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702732804333-8f795312-319c-4ef9-a8bd-56c997d187ba.png)

#### 计划任务查杀思路

计划任务这个概念我们都不陌生,首推的就是这款

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702737606340-c7007fed-7784-4392-a01e-5d9cf9fa9504.png)

我们勾选计划任务然后开始采集

![](https://cdn.nlark.com/yuque/0/2023/png/36190252/1702737639608-e3900714-2d91-4f98-b90f-d9493dcdea5d.png)

很有利于我们的快速分析

以上也是个人在实际被钓鱼下的应急响应中不断思考形成的自己的一些应急思路,希望能给各位一些帮助

发表于 2023-12-26 10:00:01
阅读 ( 6198 )
分类：应急响应

基于被钓鱼主机的快速应急响应

0 条评论