记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件

访客4年前关于黑客接单542

在我们使用态势感知等安全设备从事安全分析工作时间较长后总会产生思维惯性,从而会忘记了如何人工进行安全分析。有时给到客户的建议却解决不了实际问题,所以如何结合人工分析并掌握从而达成一次较为高效并且能解决实际问题的技能就显得尤为重要。

情况简介

2021年某日某时,正吃完午饭的我,揉着眼睛打开态势感知平台准备日常划水,突然一个告警引起了我的注意,于是我“啪”的一下,很快啊,赶紧把相关告警进行溯源排查,一个小时后就生成了一份像模像样的安全分析告警溯源报告,立即联系相关单位做下发,同样的在我正慢慢悠悠吃晚饭的时候,突然被拉进了一个微信群,主机管理员告诉我病毒查杀不出来需要我的协助,我就纳闷了,杀个毒有那么难吗?还得我亲自出马,后来我才发现事情没有我想象的那么简单......

安全分析

1. 2021年某月某日下午,态势感知平台告警情况如下,某单位主机疑似感染LifeCalendarWorm挖矿蠕虫1613720110_602f6a2e50cc3966fcd95.png!small?1613720110163

2. 进行溯源分析发现源IP:10.x.x.x每隔10分钟连接一次恶意域名,恶意域名已在微步威胁情报库进行查询威胁有效,以下为举个“栗子”:1613720246_602f6ab6a0628ebbf51d9.png!small?1613720246486

3. 分析完毕基本确认该主机感染挖矿病毒,迅速出具安全事件溯源报告,下发给对应单位做处置操作安全建议如下:1613720438_602f6b7642d19d1b64756.png!small?1613720438160

人工分析

当我在下发完分析报告后高枕无忧的吃晚饭的时候,此时突然“啪”的一下,很快奥,我没有闪,被拉到了一个微信群,里面负责该主机的工程师说病毒查杀不出来。

我:杀的出来。

他:杀不出来。

我:杀的出来。

他:杀不出来。

我:你换个杀毒软件,企业版的用起来

他:换了三个了

我:.……

此时,我心中一万匹 *** 飞奔而过,你这是在质疑我这练习时长两年半的老师傅,我现在就实地给你表演一个,“鸡你太....”不,上机杀毒从入门到精通

1. 排查cpu及内存运行情况,cpu及内存运行正常,未发现进程大量占用cpu运行:1613721296_602f6ed04198ac02972a1.png!small?1613721296443

2. 内存使用情况正常1613721331_602f6ef34e7049f590c8f.png!small?1613721331497

3. netstat -ano查看本机对外连接情况,未发现连接恶意ip情况:1613721435_602f6f5b80e45b082de3a.png!small?1613721436702

4. 排查用户情况在win+r中输入msc发现该机器为域控制器1613721495_602f6f971b218d5540560.png!small?1613721495075

5. 使用net user排查用户情况,发现多个用户,该机器为域控制器,属于正常现象1613721549_602f6fcdd53306ebe3f5b.png!small?1613721549849

6. 排查计划任务情况,跟管理员进行确认未发现异常计划任务1613721585_602f6ff10ff50c6d8a0f2.png!small?1613721585687

7. 在任务管理器 *** 连接进行查看发现dns.exe进程中存在态势感知平台报送IP1613721632_602f7020ce777b9f3a183.png!small?16137216328571613721659_602f703bda05242bf45fd.png!small?1613721659658初步分析结论:

并非该主机感染病毒木马,该主机疑似为域控服务器包含dns服务,存在其他域内子主机通过该主机进行dns解析,所以造成了态势感知平台告警源ip为该主机,实际情况为域内子主机感染病毒。

追查受害者

大意了啊,告警平台他欺负我这22岁老同志,原来由于探针部署位置在核心交换机,导致未追踪到真实受害者机器,没事,反正排查出来就让他们去给下面的机器做杀毒吧,但这时客户又要求追查出真实中毒机器,哎呀,难道我的闪用完了吗,顿时恶向胆边生,手里不由点开了word打上了五个大字,辞职申请书。但一想到那还在远方等着我发工资带她吃饭嗷嗷待哺的女朋友,不由的退缩了,“打工人,打工魂,打工人都是人上人,干就完了。奥利给”!!!

1613722340_602f72e4df502987fcb88.png!small?1613722342145

1. 抓包神器wireshark:要想分析 *** 会话肯定得使用wireshark在该主机进行安装,此时,出乎意料的事情发生了,winpcap安装到一半机器卡住了,完全不能动了,这是业务主机啊,旁边工程师看到了? ? ? ? ? ? 旁边工程师:"说哎呀G工啊,准备下岗吧"? ? ? ? ? ?我:“........”

2. 联系主机管理员进行重启,还好没啥事

3. 下载便携版wireshark,根据病毒外连域名时间规律进行抓包,抓到真实受害主机

1616058393_60531819d6d42bdc1383f.png!small?1616058395240

4. 告知主机管理员受害者IP进行杀毒,事件解决!!!

总结

这年分析工作太依赖于安全设备告警,忽略了老手艺,之后多上机处置,把wireshark再玩的6一些,此次处置过程中发现了很多新亮点,新技能。还好有万能的百度,之后多做一些人工分析工作,找找感觉,还有业务机器如果是虚拟机更好让管理员在我们上手前做快照,物理主机则让他们安装相应的软件,切莫自行上手!

相关文章

房产知识:房产证没下来可以打产调吗应该怎么

相信现在有很多的朋友们对于房产证没下来可以打产调吗应该怎么办理呢都想要了解吧,那么今天小编就来给大家针对房产证没下来可以打产调吗应该怎么办理呢进行一个介绍吧,希望小编介绍的内容能够为大家起到帮助哦 不...

华联控股股份有限公司(华联控股股份有限公司邮箱)

华联控股股份有限公司和新华联控股有限公司之间没有关系。新华联控股有限公司是民营企业,是新华联集团旗下的上市公司,实际控制人为傅军持有北京长石投资有限。 数据来源:以下信息来自企业征信机构,更多详细企业...

卡迪夫城市大学实力如何(卡迪夫城市大学有哪

卡迪夫城市大学实力如何(卡迪夫城市大学有哪

卡迪夫城市大学历史悠久,起源于19世纪的艺术学校,在20世纪末成为大学,是威尔士大学联盟十家学院之一。卡迪夫城市大学作为英国新派大学,不但具备英国传统大学的严谨学风,而且注重对学生实践能力的培养,将科...

新疆新增5例确诊病例-31省区市新增确诊病例49例

新疆新增5例确诊病例-31省区市新增确诊病例49例

相信大家每天都从热搜上关注新疆的疫情,毕竟现在全国上下只有新疆的疫情较为严峻,根据国家卫健委最新消息,11月2日0时至24时新疆新增5例确诊病例,这5例依然全部是本土无症状感染病例,那么新疆目前的疫情...

羽毛球冠军是谁,历届奥运会羽毛球男单冠军

羽毛球冠军是谁,历届奥运会羽毛球男单冠军

羽毛球冠军是谁,历届奥运会羽毛球男单冠军。   羽毛球运动是从1992年才正式进入最高体育盛会奥林匹克运动会的项目,至2016年里约奥运会共七届羽毛球项目的奥运之旅,一共产生了34项奥...

黑客看网密码软件下载(黑客解密软件下载)

黑客看网密码软件下载(黑客解密软件下载)

本文导读目录: 1、最好的破解无线网密码的软件 2、下载什么软件可以破别人无线网密码?而且知道密码! 3、下载一个什么软件能,看到无线网破解的密码呢? 4、有什么软件可以看别人无线网络密码...