1 问题发现
2020年6月23日,网络工程师在防火墙巡检中发现USB管控软件服务器(192.168.15.8)有流量异常,该服务器对外有大量尝试连接的SYN包。该服务器购买于2011年,目前属于超长服役中,主要用于USB管控软件的服务端,网络上是禁止连接互联网的。该服务器于2020年4月16日首次部署公司统一的防病毒软件。
查看防病毒后台日志,该服务器未见异常。防病毒软件全盘扫描,未检测出威胁。查看IDS日志,未见异常日志。难道说遇到了传说中的高手?看来只能尝试手工排查了。
2 手工排查
2.1 检查网络连接状态
登录该服务器,netstat -aon命令查看网络连接,发现有大量的对外主动发起连接的SYN包,目的IP地址为1.5.166.244(IP归属地为日本东京),没有已建立的外网网络连接,这属于合理现象,因为该服务器没有出外网的权限。该异常连接对应的进程PID为9076。
2.2 检查异常进程
通过PID找到该异常连接的进程为smss.exe。上网查找资料, smss.exe(Session Manager Subsystem)进程为会话管理子系统用以初始化系统变量,正常路径在C:\Windows\System32和C:\Windows\Servicepackfiles\i386下面。而异常进程文件smss.exe在C:\windows\fonts\kins文件夹下,显然有异常,很可能是病毒木马伪装的。
2.3 检查文件属性
选中文件右键查看文件属性,该文件的详细信息中,各类值几乎为空,这更加可疑,该文件的修改日期是2020年3月30日,早与防病毒软件安装日期2020年4月16日。
2.4 病毒云查杀
将该可疑文件上传至病毒扫描平台www.virscan.org,49款软件均没有发现病毒。说明该恶意程序是做了精心的免杀处理,目前绕过主流的杀毒软件。
2.5 可疑文件删除
压缩备份smss.exe文件后,选择删除该文件,提示无法删除,并导致系统卡死,重启系统后该文件被删除,过了会儿该文件又复活,说明有守护进程。查看其它相同操作系统的服务器,C:\windows\fonts\文件夹下压根就没有kins文件夹,将该文件夹压缩备份,用pchunter工具将该文件夹强制删除。
2.6 检查注册表
查询smss关键字,找到注册表中相关的项,并删除。
2.7 系统账户查询
这是一台超出服役的服务器,有必要查一下是否有系统后门账号。通过查询系统账户,发现两个可疑账户KlNagSvc和qli,跟USB管控软件的厂家工程师确认,该软件部署过程中没有在系统中新建专用账号。经查KlNagSvc为防病毒软件建立的账号,可排除,而另一个账户很可能是攻击者留下的后门账号,直接将其删除。
2.8 异常观察
重启服务器后,第二天未再现异常行为,USB管控服务正常运行,自此,本次手动查杀木马圆满结束。
来源:freebuf.com 2021-01-25 14:06:32 by: nbawrl
请登录后发表评论
注册