利用驱动人生升级通道传播的木马溯源 – 作者:xiaoxinling-安全小百科

利用驱动人生升级通道传播的木马溯源 – 作者:xiaoxinling

一、背景介绍

2018年12月14日下午，监控到一批通过 “人生日历”升级程序下发的下载器木马，其具备远程执行代码功能，启动后会将用户计算机的详细信息发往木马服务器，并接收远程指令执行下一步操作。

同时该木马还携带有永恒之蓝漏洞攻击组件，可通过永恒之蓝漏洞攻击局域网与互联网中其它机器。

驱动人生木马在1月24日的基础上再次更新，将攻击组件安装为计划任务、服务并启动。

相关文章：https://www.freebuf.com/column/195250.html

最近在应急过程中，某单位电脑感染了更新后的驱动人生木马，需求为对病毒进行溯源，找到病毒的传播源与传播途径，防止内网机器其他被感染。

文中涉及到的知识，windows安全日志：

(1)Security日志:安全日志主要记录了与系统安全相关的一些事件。这种日志类型主要是记录了用户登入登出的事件、系统资源的使用情况事件以及系统策略的更改事件。

(2)事件ID 4624代表登录成功，4625代表登录失败，登录类型如下图：

事件ID 4270代表创建用户。

（2）System日志：记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

（3）Microsoft-Windows-TerminalServices-LocalSessionManager Operational.evtx日志：远程登录相关日志。

二、溯源分析

2.1 分析研判

受害主机，主要有以下现象：

1、病毒在2019年11月28日 12:29:00创建了k8h3d账户且加入user,Administrator组：

2、在 2019年11月28日 12:29:00创建Ddrivers，WebServers计划任务，服务。

根据以上信息可判断受害主机感染了升级的驱动人生病毒。

2.2追踪溯源

排查是否为像勒索病毒一样，攻击者远程登录成功后进行投毒，查看远程登录日志，看在病毒创建用户、计划任务、服务时间是否有被远程登录的记录：Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx。

从日志可看出，在2019年11月28日12:13:40-13:50:12 期间，172.*。*。40远程登录了受害主机，在登录期间，进行了分配权限，修改主机名等操作：

经沟通，这是用户的正常登录行为，远程登录日志数量也特别少，无爆破行为，所以推断病毒传播途径不是攻击者远程登录后投毒。

通过分析研判可知，病毒创建了k8h3d帐户，Ddrivers，WebServers计划任务和服务，因此可从创建的服务入手，寻找相关溯源线索。

查看一下创建服务日志（System日志），看是否有异常情况。

可看到病毒通过powershell方式创建了计划任务且当检测到系统中存在k8h3d用户时会进行删除，说明k8h3d用户时病毒成功感染受害主机后创建的，因此推断病毒是利用受害主机的某些漏洞成功感染主机。根据网上的资料，驱动人生病毒中包含永恒之蓝攻击模块，通过沟通，受害主机未安装永恒之蓝补丁，因此推断病毒利用永恒之蓝攻击的受害主机并传播病毒，在受害主机上创建计划任务，服务，用户。

至此我们找到了受害主机感染病毒的原因，但是未找到是哪台机器传染的，在security日志中，看到了创建k8h3d账号的记录，尝试对该时间段附近的日志进行分析：

在创建用户后，病毒进行了提权，将k8h3d加入了user组：

将k8h3d加入了Administrators组：

往上查看，发现在2019年11月28日12:29:02 发现172.*.*.31利用k8h3d通过IPC成功登录了受害主机，极其接近账户创建时间，因此推断，受害主机的病毒由172.*.*31传播。