記一次蠕蟲病毒內網傳播的應急響應

0x01事件說明

在整理資料時翻到了當時一些應急處置的情況再次復盤學習一下，因有了此文，在2020年11月27號某新聞中心稱中心電腦全部被創建新用戶密碼鎖定無法正常使用計算機，要求相關技術人員到現場進行應急處置。

0x02現場情況

27號下午17點左右到達現場根據與現場網絡負責人溝通得知，該批電腦是向電腦公司租用臨時辦公的一批電腦，電腦系統均為Windows7系統全部未安裝殺毒軟件，27號上午時因該中心在到現場前所有計算均已被重裝系統且當時并未打算對該事件做進一步的取證溯源等工作，下午時該新聞中心決定對該事件當做安全事件進行處置，當下午應急人員到現場時新聞中心已將所有電腦重裝Windows10操作系統。

0x03現場處置

簡單了解新聞中心的網絡情況，通過交換機連接電信專線網絡邊界并無任何防火墻等安全設備，受攻擊區域有臺文件共享服務器，該臺文件共享服務器裝有數字殺毒軟件未被創建新賬戶從事件發生到現在也未被重裝操作系統。

通過數字殺毒軟件可以看到該文件共享服務器正在被遠程地址113.xx.xx.xx的機器進行爆破登錄且該文件共享服務器賬戶鎖定策略等基本加固未開啟防火墻未開啟等來賓賬號未關閉。

通過查看文件共享服務器的安全日志情況其中113.xx.xx.xx的攻擊IP早在25號凌晨1點49分就已經對該文件共享服務器進行爆破操作，并在25號16點44分時通過匿名賬號成功登錄。

通過對攻擊IP113.xx.xx.xx進行定位，發現該該IP是企業專線并在市區內，隨后聯合相關執法部門通過電信對該IP進行調查發現為市內某集團企業的分公司正在使用。

0x04 問題排查

第二天28號隨同執法部門前往該集團的分公司進行取證調查，在前往分公司的途中對該IP113.xx.xx.xx進行了資產掃描，發現其對外開放web服務以及遠程連接的端口，隨后跟網絡負責人溝通得知幾天前是有將終端電腦里面的虛擬機架設了zabbix服務然后映射至互聯網用于監控設備。

起初認為攻擊者是通過zabbix服務入侵進來的，將網絡接入到虛擬機同一個網絡環境中，進入zabbix所在的目錄查看zabbix.conf.php配置文件其數據庫口令為xxxx123弱口令跟虛擬機的登錄口令一致。

隨后查看crontab系統的計劃任務文件未發現有定時任務，查看歷史命令文件也未發現任何異常敏感的命令，查看passwd文件也未發現有新增加異常的用戶。

為確保是否存在webshell這類后門并將zabbix的整個web目錄打包下載至本地使用D盾進行后門查殺，也未發現有任何異常后門。

與該集團分公司的網絡負責人溝通，了解到分公司的網絡邊界處部署一臺上網行為管理，公司內所有電腦訪問互聯網時流量都會經過它。

通過在第一現場了解到被鎖定的電腦是某新聞中心在25號接入到互聯網后被感染的，日志上的信息也顯示在25號開始機子不斷的被爆破賬號。

將其上網行為的25號日志導出，篩選目標IP113.xx.xx.xx該新聞中心的C段共有大量的SMB發包記錄指向該C段，源頭均為內網10.15.4.18的機器，該機器正不斷的向目標的445端口大量發包。

0x05 確認肉雞

雖然知道了內網機器的IP地址，但因該公司的電腦客戶端過多足足有三個樓層每個樓層大概幾百臺機器，后面通過網絡管理員翻資料才知道其內網段是屬于哪個樓層的但并不能準確的確定到工位，通過ping測試也能知道當前的攻擊機器是在開著機的，用了最笨最實際的辦法對該樓層所有開機的機子進行查看內網IP地址是否與上網行為管理記錄的IP對得上，費了大半天的時間終于定位到了該終端的工位。

在找到工位后確認該機器的防護情況，電腦上并未安裝殺毒軟件，且遠程連接對外開著。

通過cmd命令ntstat顯示網絡狀態以及端口發現該機器曾經向113.12.xx.xx段的445端口進行過大量的發包，確定該機器已淪為黑客的肉雞。

通過查看該機器注冊表的啟動項發現可疑程序svchost.exe,wmiex.exe初步判斷為后門的啟動項。

因此使用任務管理器查看進程，發現可疑程序svchost.exe目前還在運行，進入其目錄在上方工具處將顯示隱藏文件打開,該程序早在2019年4月2號時就已經被植入了后門，且該程序同級目錄下有mkatz.ini文件可以看到該機器的登錄密碼為弱口令。

通過netstat命令得到該后門程序svchost.exe曾與123.xxx.xxx.xxx,49.7.xxx.xxx有過數據通信記錄疑似該后門軟件的遠控服務器。

0x06 后門分析

將后門程序svchost.exe上次至微步云沙箱進行行為分析，惡意程序先是釋放了ps1文件后將自身C:\Windows\temp\svchost.exe添加至計劃任務，后通過powershell執行ps1文件讀取到密碼寫出mkatz.ini,再通過CMD將powershell經過base64加密后的執行命令添加至計劃任務7點執行一次進行權限維持。

后通過釋放出來的netsh.exe程序修改防火墻規則從而后續攻擊別的地方開放445端口的機器擴撒感染范圍。

通過惡意程序執行的powershell命令進行base64解密得到遠程回傳URL地址為v.beahh.com，在通過威脅情報搜索該URL顯示該地址為驅動人生后門的回傳服務器。

0x07 總結

該木馬運行后會釋放一個m.ps1 PowerShell運行程序，此程序會調用Mimikatz腳本，進行本機用戶和密碼的抓取， 同時創建計劃任務，每天7點自動向v.beahh.com發送http請求下載域名解析后服務器上的程序，該木馬會發送基于445端口的SMB數據包，同時具有掃描內網和外網開放445端口的ip，即便已安裝永恒之藍的補丁，也無法遏制內網傳播，一旦開啟了SMB服務則有可能會中毒，該木馬是利用445端口進行SMB域賬戶爆破，該病毒實施的SMB爆破行為，是基于SMBV2協議的一種攻擊方式，且木馬中內置弱口令賬戶和密碼，同通過IPC$空連接進行SMB服務的賬戶爆破或登陸。

可以判定該后門是驅動人生后門感染的，后門生成的時間也正好和驅動人生后門事件爆發的時間對得上，建議將計算機登錄口令修改成強口令；將系統中的高危端口關閉；安裝殺毒防護軟件定時全盤殺毒掃描。