Watch & Learn

Debugwar Blog

Step in or Step over, this is a problem ...

捉鬼记

2021-05-20 06:50:33

(本文中所有人物均为虚构)

告警初现


“两只老虎爱跳舞…………”

吴智明不耐烦的拿起手机按下了接听键。

“喂,吴哥”,电话那头传来了公司运维小李的声音,“我这抓到一条异常告警啊,麻烦您给看一下?”。

“我知道了,你等我一会”,说完吴智明无奈的将英雄拉回了泉水,然后开始登录VPN。

不一会,吴智明边找到了小李说的那条异常日志,看样子是powershell日志被人为删除掉了。由于公司规定运维人员是不可以删除日志的,因此这种类型的告警被监控系统抛了出来。

删除日志的记录

寻找线索


“不对劲啊”,吴智明心里嘀咕到。随着键盘的敲击声,更多的“不对劲”进入到了吴智明的视野,例如在一台非核心机器上的powershell日志里发现了如下奇怪的东西:

奇怪的文件

吴智明想了一会,猜测这个大概是用来破解弱口令的字典文件。这时,他不仅想起了大名鼎鼎的那个工具——mimikatz。经过在这台机器上搜索, 最终发现了还没有被删掉的密码文件:

还未删除的密码文件

看到这个文件之后让吴智明唯一”欣慰“的是——管理员的密码并不在上述弱密码列表。

机器的嗡嗡声吵得吴智明有些心烦,此时他的额头上已经布满了一层密密的汗珠。吴智明不耐烦的拿起了一只烟,手在空中停顿了一会后又将烟放了回去,从旁边的罐子里掏出了两颗口香糖嚼了起来。

捉迷藏


整理了一下思路,吴智明决定先从这台机器的业务着手,排查一下鬼是通过哪个业务进来的。但是看着这台机器无比陌生的ip地址,竟然一时想不起这个机器是干嘛用的,无奈之下吴智明拨通了小李的电话。

”ip地址是1.2.3.4的这台机器是干啥用的?上面跑得啥业务?“吴智明问到。

”这台机器啊,这台机器没有业务,不过这台机器经常用来中转文件,因为有台机器在独立的子网,只有1.2.3.4这台机器有两个网卡,可以配置和这个子网联通。“小李答到。

吴智明点了一下右下角的网络图标的确看到了两块网卡,当然他同时也看到了旁边闪烁的图标——银河反病毒企业版,吴智明的脑袋里瞬间闪过一丝灵感。

”小李,你把银河反病毒控制中心的地址给我“吴智明说道。

”吴哥你要这个干吗?“

”我有个想法要要验证一下,总之你先给我控制中心登录地址“

”哦,是1.2.3.200“

吴智明在浏览器中打开了控制中心,尝试输入了用户名和刚才mimikatz中抓到的密码——然而很不幸,提示登录不成功。

登录控制中心提示失败

吴智明心里咒骂了一句,然后又试了几个用户名,不过幸运女神并没有青睐于他,所有的组合都得到了”帐号或密码错误“的结果。无奈,吴智明只能第二次拨通了小李的电话。

“喂,小李,咱们银河反病毒控制中心的用户名和登录密码发我一下,我需要上去查个东西”吴智明说到。

不一会吴智明便在IM上收到了小李发送的用户名和密码:admin/1qaZ2wsX,他不仅皱起了眉头,心里嘀咕到:“这用户名密码看起来有点眼熟啊?”。思考了一会之后,猛地想起刚才发现的poewrshell日志中抓到的代码——莫非这段代码破解了控制后台的账户和密码?

登录到银河反病毒控制中心的后台,吴智明查首先查看了一下操作日志,不看不知道,看完吴智明倒吸了一口凉气,竟然有人通过下发功能向1.2.3.4这台机器下发过可疑的程序:

控制中信的下发记录

通过文件名,吴智明最终在终端上找到了下发的程序:

下发的可疑程序

捉鬼


“大事不妙”吴智明心里叹道。

这个active_desktop_launcher.exe看起来还算正常,是个挺有名的软件叫酷狐:

active_desktop_launcher.exe

但是这个active_desktop_render.dll就是个三无产品了,正常来说主程序带有签名,其所使用的组件也应该是带有签名的,然而这个文件并没有签名。其他种种迹象也表明,这个文件不对劲。看来想要知道这个文件具体做了什么,只有详细分析一下了。

经过一段时间的分析,吴智明发现了一个非常可疑的行为,程序动态加载了一块代码,而这块代码看起来和整个程序的逻辑并没有太大关系,反而倒像是人为patch进去的:

奇怪的函数

而且这段代码在active_desktop_render.dll加载的时候就会经由DllMain执行:

奇怪函数的调用路径

”用一个大家公认的无害程序去加载一个有害的模块,想法很巧妙啊“,吴智明心里不免有些佩服这位黑客的思路。

如果想要消除这次黑客攻击带来的影响,需要进一步看一下动态加载的这段代码做了什么事情,然而此时静态的分析已经无法满足吴智明的需求了,于是他决定,先监控一下程序到底有哪些行为。

吴智明发现这个程序不仅读取了上面发现的下发文件,而且还大量的和一个可疑主机通信,从行为上看,这个程序特别像是一个窃密木马在辛勤的将收集到的数据发往黑客控制的服务器。


木马的可疑行为

在调试器中,吴智明发现还有很多层的自解密行为,首先将解密长度放到CX中,然后通过LOOP控制EDX指向的待解密数据完成解密,这种解密行为执行了很多轮。

木马的自解密行为

同时也抓住了读取文件的操作:

木马加载第二阶段数据

将文件读出并解密之后,开始使用解密出来的cc地址进行通信:

木马与CC开始通讯

而这个cc地址,其实是已知的APT攻击:

威胁情报体现这个木马为APT组织使用

除鬼


”狗X的“,吴智明在心里咒骂到。

然而工作还要继续,在网络上封堵这个cc地址,然后排查内网中的机器还有哪些机器连接过这个域名。

不一会,在流量日志中又发现几个连接过这个地址的机器,依次对这些机器执行一边木马扫描工作,查杀掉机器上的木马:

木马的查杀记录

同时进一步监控是否还有内网机器存在上述文件和回连cc地址的行为。

几个小时后, 吴智明基本已经处置完了本次的安全事件。房间里机器的灯在疯狂闪烁着,当他切回最小化的游戏时发现,自己又被举报进小黑屋了……

吴智明叹了口气, 默念到: “我小黑屋胡汗三又回来了~”,于是开了一局并退出了游戏。
Catalog
  • 告警初现
  • 寻找线索
  • 捉迷藏
  • 捉鬼
  • 除鬼
  • CopyRight(c) 2020 - 2025 Debugwar.com

    Designed by Hacksign