事件發現
近日內網出現一堆的挖礦木馬活動事件的告警,都是一個IOC:api.jm.taolop.com,威脅情報識別標簽為“遠控”、“AsyncRAT木馬”,聯系電腦使用人進行殺毒處理,發現某廠殺毒軟件掃描識別為安全,無法查殺(深深吐槽一下,還是證據說服力不夠,客戶不是很注重),需要進一步深入證據。
病毒確認
1、首先查流量分析,確認該主機開機后一段時間進行多次外連該:api.jm.taolop.com域名行為,而該區域無法訪問外網,並且沒有主動訪問的需求,確認為主機自動發起的訪問;
2、聯系電腦使用者查看主機是否存在C:\Program Files該文件夾(流星加速器惡意程序會創建該文件夾)以及服務是否存在LocalNetworkFlowService,反饋確認存在該文件以及進程,初步確認主機存在木馬病毒。
復現主機病毒環境
1、下載木馬程序:https://www.lanzoux.com/i0R7mfk9voj,解壓密碼:infected,
2、解壓在win7虛擬機(關閉外網)進行安裝(有防病毒軟件的話關閉,否則會當病毒進行清理),一路默認確認就行,安裝后就可以卸載軟件(有沒有軟件沒關系,病毒程序已經在電腦上運行了)。
3、進行病毒程序分析,這里樣本代碼分析推薦大哥文章:https://www.52pojie.cn/thread-1246571-1-1.html,內容很詳細,這里主要講一下樣本運行現象。
4、我們在windows任務管理器服務里面找到LocalNetwork和SecurityGuard。
5、在系統服務列表已創建自啟動服務LocalNetwork和SecurityGuard。
6、惡意程序位於C盤目錄:C:\Program Files\Microsoft App以及C:\Windows。
7、使用wireshake抓包查看木馬病毒的外連數據,發起傳輸數據目的域名:yxjs.diaodu.ssot.net
惡意程序處理方法
1、木馬病毒運行機制:流星加速器被下載器靜默推廣安裝之后,便會在安裝目錄釋放惡意代理模塊LocalNetwork.exe與后門模塊SecurityGuard.exe.釋放完成后,LXInstall.exe將創建C:\Program Files\Microsoft App文件夾並將LocalNetwork.exe移動到其中,隨后啟動LocalNetworkFlowService服務.同時LXInstall.exe會將SecurityGuard.exe移動到C:\Windows目錄下並啟動執行,然后就是停止刪除了惡意程序。
2、手動刪除惡意程序:
(1)首先在系統服務中將服務設為禁止,並停止運行服務
(2)查看任務管理器具體服務已經停止,然后進入C:\Program Files\Microsoft App以及C:\Windows找到具體程序直接刪除(沒有停止服務無法刪除)
使用工具火絨查殺,掃描器很快就可以查到風險進程,直接查殺處理就可以:
總結
后續聯系中毒電腦使用人進行處理,從安全方面,內網環境無法進行其他殺毒軟件安裝,只能遠程協助配合將惡意程序手動停止刪除了。結果還算可以,但還是拖了兩三天才解決,主要原因還是:
(1)使用盜版軟件存在中毒風險;
(2)內網環境殺毒軟件庫更新緩慢,部分惡意程序不識別;
(3)工作人員對木馬重視程度不高,配合積極性不大。
希望未來網絡環境越來越好!
參考文獻
https://www.52pojie.cn/thread-1246571-1-1.html
https://www.lanzoux.com/i0R7mfk9voj