首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

用迅猛龙解锁“5分钟排查可疑告警主机”新技能!

文摘   科技   2023-07-27 08:00   广东  
写在最前面:

    相信有认真关注我们公众号的小伙伴都看出来了,这是一系列介绍顺丰网络安全DFIR(数字调查与事件响应)平台从0到1实践之路的连载文章。如果你还没看过前面文章,为了可以更快速吸收本篇文章的精髓部分,笔者建议先从第一篇开始往后追。


    前面几篇介绍了事件调查响应的生命周期和方式,Velociraptor是什么(一款网络安全事件调查平台),顺丰网络安全选择使用Velociraptor来实现事件调查响应工程化的原因,以及Velociraptor的部署和基础操作。

说明:

• 本文仅简单演示排查KoiMiner木马过程,未分析病毒文件、未溯源;关于该木马更详细情况请参考文章: 《KoiMiner挖矿木马变种入侵,超5000台SQL Server服务器被控制》;

• 本文主要演示Velociraptor在实际调查过程中可以用到的思路和方法,思路方法并不唯一,可以根据需要灵活调整;

• 默认认为阅读该文档读者已具备初步使用Velociraptor能力。


一、背景

    “嘀嘀嘀,嘀嘀嘀”,安全响应平台的一条告警通知响起,显示某终端出现了异常活动,我立刻打开安全监控平台,查看了相关告警详细信息。

A new process has been created.
Creator Subject:Security ID: SYSTEMAccount Name: MSEDGEWIN10$Account Domain: WORKGROUPLogon ID: 0x3E7
Target Subject:Security ID: NULL SIDAccount Name: -Account Domain: -Logon ID: 0x0
Process Information:New Process ID: 0x179cNew Process Name: C:\Windows\System32\attrib.exeToken Elevation Type: %%1936Mandatory Label: Mandatory Label\System Mandatory LevelCreator Process ID: 0x2270Creator Process Name: C:\Windows\Help\csrss.exeProcess Command Line: "C:\Windows\System32\attrib.exe" C:\Windows\Help\lsass.exe -s -r -a -h
        相信大家也注意到了,该告警中出现了lsass.exe执行命令的特征,是可疑告警;因未确认该告警真实性以及具体告警原因,本次调查按照通用事件调查方式方法展开。


二、排查

    告警中出现进程信息,优先从进程信息入手:
1. 查找进程信息,确认进程是否存在风险;

1.1 从告警记录中的Creator Process ID字段可得知Pid是8816(0x2270);使用Windows.System.Pslist工件获取进程列表信息:

1.2 为了快速定位到目标进程,切换到Notebook标签页,修改原始VQL语句,筛选出目标进程信息;其中过滤条件是PID=8816

    将该MD5值(8ecf43d3b5d2357f89365198528951c0)丢到微步进行情报数据关联:

    根据情报信息可以确认该进程是恶意进程,需要进一步确认排查。

1.3此时找到父进程PID=632,添加VQL的Pid为632的条件,进一步确认父进程详情:

    可以看到父进程是系统服务进程,同样查看下父进程的MD5(7a20da1f1406492a70e9c8243634467b):

此时可以确认父进程是一个正常的进程。

2. 查找服务信息
    为了进一步确认csrss.exe是由哪个服务执行的,需要另外执行工件从注册表中获取service详情.

2.1. 使用SFDFIR.Windows.System.Services查找进程所对应的服务:

    此时找到名为wmiApSrvs的服务,该服务与情报中的信息相符,可以确认该恶意文件为KoiMiner木马病毒。同时也确认服务创建时间是2022-05-31T02:45:54.4392699。


2.2 调查wmiApSrvs服务创建信息
    路线1- SC方式创建service服务。

    执行SFDFIR.Windows.EventLog.Process工件,获取进程启动历史记录,从历史记录中查找SC命令进程调用:

找到创建服务的进程是6224.
    继续在SFDFIR.Windows.EventLog.Process查找6224进程信息:

    继续在SFDFIR.Windows.EventLog.Process查找4776进程信息:

    继续在SFDFIR.Windows.EventLog.Process查找5232进程信息:

    除红色框线内的,其他记录发现仅PID相同,与本事件无关。
2.3 返回到前面排查到的进程6224。

    进一步排查恶意进程6224的动作,此时依然基于SFDFIR.Windows.EventLog.Process统计该进程执行的动作:


三、结论
执行过程
1. 用户IEUser通过资源管理器打开CMD,并执行了恶意程序csrss.exe;

2. 恶意程序csrss.exe创建了两个服务:

"C:\Windows\System32\sc.exe" create wmiApServs binpath= "C:\Windows\system\csrss.exe -p" displayName= "WMI Performance Adaptnr" start= auto"C:\Windows\System32\sc.exe" create wmiApSrvs binpath= "C:\Windows\Help\csrss.exe -s" displayName= "WMI Performance Adaptor" start= auto

3. 恶意程序csrss.exe执行了以下命令:

\??\C:\Windows\system32\conhost.exe 0xffffffff -ForceV1 2"C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2203.5-0\MpCmdRun.exe" SignatureUpdate -ScheduleJob -RestrictPrivileges -Reinvoke 1"C:\Windows\System32\attrib.exe" C:\Windows\Help\n.exe -s -r -a -h 1"C:\Windows\System32\attrib.exe" C:\Windows\Help\c.exe -s -r -a -h 1"C:\Windows\System32\net1.exe" stop wmiApSrvs 1"C:\Windows\System32\sc.exe" delete wmiApSrvs 1"C:\Windows\System32\net1.exe" stop wmiApServs 1"C:\Windows\System32\sc.exe" delete wmiApServs 1"C:\Windows\System32\cacls.exe" C:\Windows\Help\csrss.exe /e /g everyone:f 1"C:\Windows\System32\cacls.exe" C:\Windows\Help\csrss.exe /e /g system:f 1"C:\Windows\System32\attrib.exe" C:\Windows\Help\csrss.exe -s -r -a -h 1"C:\Windows\System32\cacls.exe" C:\Windows\system\csrss.exe /e /g everyone:f 1"C:\Windows\System32\cacls.exe" C:\Windows\system\csrss.exe /e /g system:f 1"C:\Windows\System32\attrib.exe" C:\Windows\system\csrss.exe -s -r -a -h 1"C:\Windows\System32\cacls.exe" C:\Windows\Help\lsass.exe /e /g everyone:f 1"C:\Windows\System32\cacls.exe" C:\Windows\Help\lsass.exe /e /g system:f 1"C:\Windows\System32\attrib.exe" C:\Windows\Help\lsass.exe -s -r -a -h 1"C:\Windows\System32\attrib.exe" C:\Windows\Help\csrss.exe +a +h +s +r 1"C:\Windows\System32\sc.exe" create wmiApSrvs binpath= "C:\Windows\Help\csrss.exe -s" displayName= "WMI Performance Adaptor" start= auto 1"C:\Windows\System32\sc.exe" description wmiApSrvs "Provides performance library information from Windows Management Instromentation" 1"C:\Windows\System32\attrib.exe" C:\Windows\system\csrss.exe +a +h +s +r 1"C:\Windows\System32\net1.exe" start wmiApSrvs 1"C:\Windows\System32\sc.exe" create wmiApServs binpath= "C:\Windows\system\csrss.exe -p" displayName= "WMI Performance Adaptnr" start= auto 1"C:\Windows\System32\sc.exe" description wmiApServs "Provides performance library information from Windows Management Instromentations" 1"C:\Windows\System32\net1.exe" start wmiApServs 1


时间轴

  • 2022-05-31T02:29:15Z     IEUser打开资源管理器

  • 2022-05-31T02:44:46Z     启动cmd

  • 2022-05-31T02:45:16Z     执行恶意程序"c:\test\样本\csrss.exe"

  • 2022-05-31T02:45:54Z     创建wmiApSrvs服务


注:本篇报告为实验环境中搭建的失陷主机中挖矿病毒的演示场景,仅供内部响应人员DFIR的分享培训使用,非攻击事件。


 http://mp.weixin.qq.com/s?__biz=MzU3OTAyODk4MQ==&mid=2247486588&idx=1&sn=408f94d757249fdb6a1ff00c36f76e19
顺丰安全应急响应中心
顺丰安全应急响应中心(SFSRC)官方微信
 最新文章
2024漏洞马拉松-顺丰站
SFSRC助力 | 先知安全沙龙 - 上海站 12月14日开启!
谁懂啊!我用情报拓线追踪到了攻击团伙的300个窝点!
顺丰安全漏洞评分规则更新公告
招聘 | 火热招募中!顺丰安全期待您的加入!
SFSRC助力 | 完整议程发布!先知安全沙龙 - 北京站 11月9日开启!
震惊!最新银狐恶意样本幕后黑手或为东南亚黑产团伙!
你在“漫游”看世界,他们却在小窗口里窥视着你【上】
高端的二进制0day挖掘,往往只需要从1day的分析开始【下】
SFSRC助力 | 先知安全沙龙 - 杭州站 10月19日开启!
SFSRC助力 |【内含福利】白帽技术沙龙&极客之夜来了!
高端的二进制0day挖掘,往往只需要从1day的分析开始
SFSRC助力 | ISC.AI 2024赛博文化街:老周惊喜探馆,共赏极客潮流!
不是,真没人敢说吗?免杀大佬加入黑灰产还打得过吗?
白帽访谈 | 杀疯了!0day量产机的第一个百万桶金
EDR监测遭遇滑铁卢?无驱动技术让你轻松突破EDR!
你存在,在我们的攻击画像里
活动 | 3倍奖励+端午礼盒活动来袭!
白帽违规测试事件处置公告
SFSRC助力 | ZoomEye终身会员开售!使用ZoomEye快速追踪热点漏洞!
SFSRC助力 | 2023-2024 货拉拉SRC白帽子安全沙龙暨年度颁奖典礼预告
SFSRC助力 | 倒计时3天!补天白帽城市沙龙成都站议程来啦!
白帽访谈 | 挖洞月入6位数的顶级白帽养成记
关于顺丰SRC暂停漏洞测试活动的公告
【致谢信】
SFSRC助力 | 重磅发布《数据安全调研报告》
今天不谈挖洞,今天只想表白。
2024年顺丰SRC春节放假通知
活动 | 顺丰SRC第二届白帽技术沙龙圆满落幕!
顺丰SRC白帽技术沙龙活动中奖名单
SFSRC助力 | 「安全同路人」平安SRC白帽子安全沙龙报名开启-成都站
SFSRC助力 | 议程与嘉宾公布!宁波沙龙,期待相见
在?挖洞送顺丰×奥迪R8车模
DLL注入的术与道:分析攻击手法与检测规则
SFSRC助力 | 2023 SDC 11大前沿技术议题,看雪第七届安全开发者峰会于上海圆满落幕!
白帽访谈 | 挖掘上万个高危漏洞的安全守护者
漏洞马拉松2023 | 年少有为,纵横四海,白帽纵横榜“开榜封神”
SFSRC助力 | 精彩!圆满!补天白帽城市沙龙武汉站活动完美收官!
SFSRC助力 | 10月23日·上海,第七届安全开发者峰会即将开幕
顺丰SRC中秋礼盒大放送!
盘点安全圈团队的那些事
关于顺丰SRC暂停漏洞测试活动的公告
用迅猛龙解锁“5分钟排查可疑告警主机”新技能!
对抗临近 | 红队大佬的私人秘籍:EDR绕过技术曝光!
SFSRC助力 | 补天白帽城市沙龙西安首秀,完美收官!
重磅发布|《零信任建设调研报告》
补天白帽城市沙龙西安站报名开启,点击Get白帽进阶技能!
SFSRC助力 | HackingClub邀你共度与众不同的520
活动 | 在顺丰SRC里面挖呀挖呀挖,挖小小的漏洞,挣两倍奖励花
供应链投毒事件调查:一个免杀爱好者沦为“肉鸡”的全过程!
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉