12

利用驱动人生升级通道传播的木马溯源

 4 years ago
source link: https://www.freebuf.com/articles/system/225729.html
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.

一 、背景介绍

2018年12月14日下午,监控到一批通过 “人生日历”升级程序下发的下载器木马,其具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器,并接收远程指令执行下一步操作。

同时该木马还携带有永恒之蓝漏洞攻击组件,可通过永恒之蓝漏洞攻击局域网与互联网中其它机器。

驱动人生木马在1月24日的基础上再次更新,将攻击组件安装为计划任务、服务并启动。

相关文章: https://www.freebuf.com/column/195250.html

最近在应急过程中,某单位电脑感染了更新后的驱动人生木马,需求为对病毒进行溯源,找到病毒的传播源与传播途径,防止内网机器其他被感染。

文中涉及到的知识,windows安全日志:

(1)Security日志:安全日志主要记录了与系统安全相关的一些事件。这种日志类型主要是记录了用户登入登出的事件、系统资源的使用情况事件以及系统策略的更改事件。

(2)事件ID 4624代表登录成功,4625代表登录失败,登录类型如下图:

IJJj2yr.jpg!web

事件ID 4270代表创建用户。

(2)System日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

(3)Microsoft-Windows-TerminalServices-LocalSessionManager Operational.evtx日志:远程登录相关日志。

二 、溯源分析

2.1 分析研判

受害主机,主要有以下现象:

1、病毒在2019年11月28日 12:29:00创建了k8h3d账户且加入user,Administrator组:

7JfqMv6.jpg!web

2、在 2019年11月28日 12:29:00创建Ddrivers,WebServers计划任务,服务。

i2YNBvr.jpg!web

yayYj2i.jpg!web

根据以上信息可判断受害主机感染了升级的驱动人生病毒。

2.2追踪溯源

排查是否为像勒索病毒一样,攻击者远程登录成功后进行投毒,查看远程登录日志,看在病毒创建用户、计划任务、服务时间是否有被远程登录的记录:Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx。

YbIRf2U.jpg!web

ZrQFrmJ.jpg!web

从日志可看出,在2019年11月28日12:13:40-13:50:12 期间,172.*。*。40远程登录了受害主机,在登录期间,进行了分配权限,修改主机名等操作:

Vvy2i2Y.jpg!web

fYVfemU.jpg!web

经沟通,这是用户的正常登录行为,远程登录日志数量也特别少,无爆破行为,所以推断病毒传播途径不是攻击者远程登录后投毒。

通过分析研判可知,病毒创建了k8h3d帐户,Ddrivers,WebServers计划任务和服务,因此可从创建的服务入手,寻找相关溯源线索。

查看一下创建服务日志(System日志),看是否有异常情况。

y6J7Vbn.jpg!web

2Qra2qr.jpg!web

MF3iY3z.jpg!web

可看到病毒通过powershell方式创建了计划任务且当检测到系统中存在k8h3d用户时会进行删除,说明k8h3d用户时病毒成功感染受害主机后创建的,因此推断病毒是利用受害主机的某些漏洞成功感染主机。根据网上的资料,驱动人生病毒中包含永恒之蓝攻击模块,通过沟通,受害主机未安装永恒之蓝补丁,因此推断病毒利用永恒之蓝攻击的受害主机并传播病毒,在受害主机上创建计划任务,服务,用户。

QniaEz2.jpg!web

AvyeAzB.jpg!web

bY3IVr3.jpg!web

至此我们找到了受害主机感染病毒的原因,但是未找到是哪台机器传染的,在security日志中,看到了创建k8h3d账号的记录,尝试对该时间段附近的日志进行分析:

在创建用户后,病毒进行了提权,将k8h3d加入了user组:

eEbu2ab.jpg!web

ZnmEr2y.jpg!web

将k8h3d加入了Administrators组:

jiIVBnv.jpg!web

往上查看,发现在2019年11月28日12:29:02 发现172.*.*.31利用k8h3d通过IPC成功登录了受害主机,极其接近账户创建时间,因此推断,受害主机的病毒由172.*.*31传播。

InMbeeE.jpg!web

zaiMz2y.jpg!web

2.3 入侵推测

分析至此,可得出结论,内网172.*.*.31主机感染了病毒,感染病毒后具有以下行为:

(1)利用永恒之蓝漏洞攻击其他机器;
(2)利用k8h3d账号通过IPC登录其他机器。

在2019年11月28日

(1)12:29 00 172.*.*.31成功利用永恒之蓝漏洞感染了受害主机,在受害主机上通过powershell命令创建WebServer,Ddrivers服务和计划任务、创建k8h3d账户并进行提权:将账户加入user,Administrator组,

(2)12:29 02 利用创建的k8h3d账户通过IPC成功登录受害机器。

B7fQ3eY.jpg!web

三 、总结

3.1 处置建议 

1、安装杀毒软件进行病毒查杀.
2、安装永恒之蓝补丁。
3、关闭445,139端口。
4、提高员工安全意识。

3.2 思路总结

本次溯源思路如下,关键点在于对受害主机感染病毒时间附近的日志进行分析,分析登录行为,服务等:

1、通过在主机获取的信息确定病毒种类。
2、通过分析主机感染病毒时间附近的:远程登录日志及登录后的行为,推测病毒传播方式。
3、通过分析通过分析主机感染病毒时间附近的:服务,其他登录记录确定病毒的传播方式和传播源。

希望本文能给溯源的伙伴提供相关思路。

*本文作者:xiaoxinling,转载请注明来自FreeBuf.COM


report

Recommend

About Joyk


Aggregate valuable and interesting links.
Joyk means Joy of geeK