. : : ClassiClub ForuM : : .

会员中心 论坛帮助 日历事件 标记论坛已读
返回   精品技术论坛 » 技术论坛 » 『软件使用』

『软件使用』: 电脑软件推荐, 电脑软件使用, 经验分享



发表新主题 回复
 
主题工具
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,324 声望值: 3
精华: 3,解答: 10
#1 旧 2021-09-04, 13:05:53 Icon18 已解答: 【求助】再次求助,Powershell启动木马,查找源头
Fireflying 当前离线  

一台云主机,之前中过挖矿木马,手工清理了之后,大约半年时间相安无事。
昨天开始忽然阿里云盾报警,发现又是Powershell启动cmd去远程网站下载木马到本地,然后启动木马运行挖矿程序,跟上次的情况完全一样。但是我怎么查找,也找不到它是怎么启动Powershell的。
之前那次出问题之后,我联系过PcHunter的团队,他们的一个工程师帮我看了一下,也没有找到源头。可能是因为当时木马进程已经被终止运行并被删除,所以他也没查到是什么触发启动的Powershell。

我检查了注册表启动项、检查了服务、检查了任务计划,都没有找到启动Powershell的入口。目前,我是把木马源头的IP用安全组拦截了。短期内就算Powershell又启动去下载,应该也无法完成下载。

但是这个入口没找到,始终是个问题。

如果是通过Powershell脚本执行的,那么怎么查找对应的脚本?以及加载脚本的入口?

各位大神能否帮着分析一下?

附上那个挖矿木马,压缩包里面的文件是隐藏属性,我的笔记本只要解压缩就被火绒干掉了。
上传的图像
文件类型: png 2021-09-04_云主机木马1.png (33.6 KB, 488 次查看)
文件类型: png 2021-09-04_云主机木马2.png (4.8 KB, 482 次查看)
文件类型: png 2021-09-04_云主机木马3.png (41.6 KB, 482 次查看)
文件类型: png 2021-09-04_云主机木马4.png (46.3 KB, 483 次查看)
上传的附件
文件类型: zip exp1orer.zip (1.95 MB, 6 次查看)
回复时引用此帖
最佳解答为:WhoCares
跟这个木马估计是一家的,这个会访问 "http://185.112.144.245/a/data" 去下载东西

https://any.run/report/d4f9a5f8543a9...4-81d1c12ca1f6
lucida
 
lucida 的头像
终极会员
 
资 料:
注册日期: Sep 2001
帖子: 8,218 声望值: 3
精华: 4,解答: 107
#2 旧 2021-09-04, 13:16:50 默认
lucida 当前离线  

还有可能是驱动和wmi

用autoruns看看
回复时引用此帖
jr21066
 
jr21066 的头像
热心会员
 
资 料:
注册日期: Mar 2002
帖子: 14,732 声望值: 6
精华: 15,解答: 53
#3 旧 2021-09-04, 15:23:48 默认
jr21066 当前离线  

以前我们这里是有个java的软件。只要一启动就会中木马。应该是软件有漏洞。
360都拦不住。还是火绒拉下了。看看有没有这种情况


所有的人都站在一边并不一定是好事,譬如他们都站在船的一边
回复时引用此帖
WhoCares
 
WhoCares 的头像
传说中的……
 
资 料:
注册日期: Dec 2000
帖子: 7,030 声望值: 3
精华: 0,解答: 52
#4 旧 2021-09-04, 18:16:51 默认
WhoCares 当前离线  

用process monitor记录开机的进程链信息来分析是从哪个启动项启动的,也就是追溯cmd.exe的父进程、爷进程等。
一般的杀软也是扫的这些启动项位置,但可能有漏的。
process monitor是不会漏的,但要看是否会分析,可以保存下来传给别人分析,数据文件是比较大的,可以先设置filter过滤(要打勾drop filtered events),分析不出再扩大filter。

菜单Options -> Enable boot logging

此帖于 2021-09-04 18:32:54 被 WhoCares 编辑. .


Life finds a way. Jurassic Park (1993)
回复时引用此帖
rbba
 
rbba 的头像
支柱会员
 
资 料:
注册日期: May 2001
帖子: 6,497 声望值: 3
精华: 3,解答: 36
#5 旧 2021-09-05, 23:37:26 默认
rbba 当前离线  

1. 计划任务里看看
2. service.msc看看有啥奇怪的服务
3. 去管理员组看看有没有network service账户
4. 永恒之蓝的补丁打了没有


任何非常先进的技术,初看都与魔法无异。——克拉克基本定律三
回复时引用此帖
jimmy_dong
 
jimmy_dong 的头像
管理员
 
资 料:
注册日期: Aug 2000
帖子: 5,314 声望值: 9
精华: 2,解答: 88
#6 旧 2021-09-05, 23:43:13 默认
jimmy_dong 当前离线  

你的机器都运行哪些服务? 开放哪些端口?

建议是重做一台机器,把服务内容迁移过去。不然以后用着也不放心。


~~呵呵~~


……你呀,考虑一下吧,要快一点,你知道,肚子很快又饿了。 jimmy_dong@sina.com Oicq:816937

如果失去了“呵呵”,生活会是怎样?
回复时引用此帖
Thomson
 
Thomson 的头像
超级会员
 
资 料:
注册日期: Feb 2000
帖子: 1,975 声望值: 3
精华: 4,解答: 15
#7 旧 2021-09-05, 23:52:24 默认
Thomson 当前离线  

不是写着么?进程ID8474,8776……截图中都看到了……

发自 iPad Air 使用 CCF客户端


byte...kilobyte...megabyte...gigabyte...terabyte...petabyte...exabyte...zettabyte...yottabyte...
回复时引用此帖
Thomson
 
Thomson 的头像
超级会员
 
资 料:
注册日期: Feb 2000
帖子: 1,975 声望值: 3
精华: 4,解答: 15
#8 旧 2021-09-05, 23:54:11 默认
Thomson 当前离线  

引用:
作者: Thomson 查看帖子
不是写着么?进程ID8474,8776……截图中都看到了……

发自 iPad Air 使用 CCF客户端
@Thomson
7484,8776……

发自 iPad Air 使用 CCF客户端
回复时引用此帖
WhoCares
 
WhoCares 的头像
传说中的……
 
资 料:
注册日期: Dec 2000
帖子: 7,030 声望值: 3
精华: 0,解答: 52
#9 旧 2021-09-06, 00:27:25 默认
WhoCares 当前离线  

这两个都不是进程链的最顶层的那个

8776是挖矿木马的主exe
7484是cmd.exe,但这个cmd.exe是怎么开机run起来的,要追溯。如果不是开机起来的,就是开机后被人扫中后用漏洞起来的。

引用:
作者: Thomson 查看帖子
Thomson
7484,8776……

发自 iPad Air 使用 CCF客户端

此帖于 2021-09-06 00:56:05 被 WhoCares 编辑. .
回复时引用此帖
livefree
 
livefree 的头像
高级会员
 
资 料:
注册日期: Mar 2001
帖子: 936 声望值: 3
精华: 0,解答: 4
#10 旧 2021-09-06, 05:02:41 默认
livefree 当前离线  

用process explorer来看看进程树是不是能知道怎么启动的?
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,324 声望值: 3
精华: 3,解答: 10
#11 旧 2021-09-06, 08:51:05 默认
Fireflying 当前离线  

引用:
作者: Thomson 查看帖子
不是写着么?进程ID8474,8776……截图中都看到了……

发自 iPad Air 使用 CCF客户端
要是这么简单,我早就搞定了,8474是cmd,是系统进程,8776是挖矿木马。
每次把挖矿木马删掉之后,过一段时间powershell会用cmd到远程网站下载木马回来,再次启动木马。问题的关键是啥东西启动的powershell,这个一直没追溯到。
process monitor试过,可能是不太熟悉,没有查到有价值的线索。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,324 声望值: 3
精华: 3,解答: 10
#12 旧 2021-09-06, 08:57:58 默认
Fireflying 当前离线  

还有一个原因,就是下载木马的动作并不是一直在发生,而是隔好久才发生一次,一般我发现有木马的时候,它早就完成下载了,此时我再监视,啥都监视不到。
实在不行,我就持续开着监视powershell和cmd算了。
回复时引用此帖
WhoCares
 
WhoCares 的头像
传说中的……
 
资 料:
注册日期: Dec 2000
帖子: 7,030 声望值: 3
精华: 0,解答: 52
#13 旧 2021-09-06, 09:19:27 默认
WhoCares 当前离线  

跟这个木马估计是一家的,这个会访问 "http://185.112.144.245/a/data" 去下载东西

https://any.run/report/d4f9a5f8543a9...4-81d1c12ca1f6
回复时引用此帖
michael80
 
michael80 的头像
超级会员
 
资 料:
注册日期: May 2011
帖子: 1,206 声望值: 4
精华: 0,解答: 32
#14 旧 2021-09-06, 09:25:20 默认
michael80 当前离线  

这台服务器应该运行有cms,cms有漏洞,被注入了。
回复时引用此帖
Fireflying
 
Fireflying 的头像
终极会员
 
资 料:
注册日期: Dec 2004
帖子: 10,324 声望值: 3
精华: 3,解答: 10
#15 旧 2021-09-06, 10:05:26 默认
Fireflying 当前离线  

引用:
作者: jimmy_dong 查看帖子
你的机器都运行哪些服务? 开放哪些端口?

建议是重做一台机器,把服务内容迁移过去。不然以后用着也不放心。


~~呵呵~~
Web服务、SQLServer服务、还有JAVA。还有一个视频会议系统的服务端。安全组里面只针对业务需要的端口做了放行,1433端口是关闭的,远程桌面端口也是关闭的,远程一般都是通过Stunnel加密隧道连接进去再本地打开远程。
因为这主机上跑的一些服务,有的是按主机授权的,如果更换主机的话,得重新激活,非常麻烦,关键是其中有个服务商关系闹僵了,再找人家重新授权恐怕不好搞。
回复时引用此帖
发表新主题 回复

主题工具

论坛规则  发帖规则
不可以发表主题
不可以回复帖子
不可以上传附件
不可以编辑自己的帖子
论坛启用 vB 代码
版面启用 表情符号
版面启用 [IMG] 代码
版面禁用 HTML 代码


所有时间均为北京时间, 现在的时间是 22:32:10.

本论坛带宽由迅通网络提供
SSL证书由TrustAsia提供

Copyright © 2000 - 2019 ClassiClub Forum All Rights Reserved.
粤ICP备09123456号