事件背景

  深度威胁检测设备发现大量的DNS response of a queried malware Command and Control
domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒,病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信过程,找出恶意进程,并进行病毒木马清除。

事件排查过程以及结果

根据TDA报送的告警事件,恶意回调的域名为amnsreiuojy.ru,感染终端为:x.x.x.14,详细信息为:

将域名丢进威胁情报查一波:

为找出该恶意进程,进行如下操作:

1、在终端上,修改hosts文件,将域名强制指向b.b.b.20.

2、在终端上,找到与该域名通信的进程:

3、显然是wuauclt.exe被恶意感染。wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使计算机无法得到最新更新信息。显然,病毒注入了该进程,通过该进程启动,删掉该进程可以暂时解决问题,但是一开机重启,病毒又会运行起来。

4、通过查看操作系统启动项,看是否有不明文件:

5、显然12646这个文件显得不明不白,直接丢进沙箱进行一波分析,发现病毒通过优盘传播:

多个引擎检测出来病毒:

通过注册表实现自启动:

尝试访问恶意域名,尝试访问恶意域名,并与入侵检测设备报送一致:

进程树如下,与最初判断一致:

6、处置方法:

1)删除自启动注册表项

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286

2)删除文件

C:\ProgramData\Local Settings\Temp\cckcelu.com

3)删除开机启动文件12646

7、通过处置后,再无往外请求恶意域名的流量:

技术
©2019-2020 Toolsou All rights reserved,
01-C语言之父:丹尼斯·里奇为什么 Python 不是面向未来的编程语言?利用Python处理Excel数据——xlrd,xlwt库# C# 学习笔记(4) 类C语言中四种取整方式、取余/取模的运算以及负数取模的问题java两个对象比较属性值初学者学Python一定要知道他的基础算法有哪些?作用是什么?面试经常被问到-拉链表C++实现简单的通讯录管理系统利用Python处理Excel数据——pandas库