利用驱动人生升级通道传播的木马溯源 – 作者:xiaoxinling

一 、背景介绍

2018年12月14日下午,监控到一批通过 “人生日历”升级程序下发的下载器木马,其具备远程执行代码功能,启动后会将用户计算机的详细信息发往木马服务器,并接收远程指令执行下一步操作。

同时该木马还携带有永恒之蓝漏洞攻击组件,可通过永恒之蓝漏洞攻击局域网与互联网中其它机器。

驱动人生木马在1月24日的基础上再次更新,将攻击组件安装为计划任务、服务并启动。

相关文章:https://www.freebuf.com/column/195250.html

最近在应急过程中,某单位电脑感染了更新后的驱动人生木马,需求为对病毒进行溯源,找到病毒的传播源与传播途径,防止内网机器其他被感染。

文中涉及到的知识,windows安全日志:

(1)Security日志:安全日志主要记录了与系统安全相关的一些事件。这种日志类型主要是记录了用户登入登出的事件、系统资源的使用情况事件以及系统策略的更改事件。

(2)事件ID 4624代表登录成功,4625代表登录失败,登录类型如下图:

事件ID 4270代表创建用户。

(2)System日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。

(3)Microsoft-Windows-TerminalServices-LocalSessionManager Operational.evtx日志:远程登录相关日志。

二 、溯源分析

2.1 分析研判

受害主机,主要有以下现象:

1、病毒在2019年11月28日 12:29:00创建了k8h3d账户且加入user,Administrator组:

2、在 2019年11月28日 12:29:00创建Ddrivers,WebServers计划任务,服务。

根据以上信息可判断受害主机感染了升级的驱动人生病毒。

2.2追踪溯源

排查是否为像勒索病毒一样,攻击者远程登录成功后进行投毒,查看远程登录日志,看在病毒创建用户、计划任务、服务时间是否有被远程登录的记录:Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx。

从日志可看出,在2019年11月28日12:13:40-13:50:12 期间,172.*。*。40远程登录了受害主机,在登录期间,进行了分配权限,修改主机名等操作:

经沟通,这是用户的正常登录行为,远程登录日志数量也特别少,无爆破行为,所以推断病毒传播途径不是攻击者远程登录后投毒。

通过分析研判可知,病毒创建了k8h3d帐户,Ddrivers,WebServers计划任务和服务,因此可从创建的服务入手,寻找相关溯源线索。

查看一下创建服务日志(System日志),看是否有异常情况。

可看到病毒通过powershell方式创建了计划任务且当检测到系统中存在k8h3d用户时会进行删除,说明k8h3d用户时病毒成功感染受害主机后创建的,因此推断病毒是利用受害主机的某些漏洞成功感染主机。根据网上的资料,驱动人生病毒中包含永恒之蓝攻击模块,通过沟通,受害主机未安装永恒之蓝补丁,因此推断病毒利用永恒之蓝攻击的受害主机并传播病毒,在受害主机上创建计划任务,服务,用户。

至此我们找到了受害主机感染病毒的原因,但是未找到是哪台机器传染的,在security日志中,看到了创建k8h3d账号的记录,尝试对该时间段附近的日志进行分析:

在创建用户后,病毒进行了提权,将k8h3d加入了user组:

将k8h3d加入了Administrators组:

往上查看,发现在2019年11月28日12:29:02 发现172.*.*.31利用k8h3d通过IPC成功登录了受害主机,极其接近账户创建时间,因此推断,受害主机的病毒由172.*.*31传播。

2.3 入侵推测

分析至此,可得出结论,内网172.*.*.31主机感染了病毒,感染病毒后具有以下行为:

(1)利用永恒之蓝漏洞攻击其他机器;

(2)利用k8h3d账号通过IPC登录其他机器。

在2019年11月28日

(1)12:29 00 172.*.*.31成功利用永恒之蓝漏洞感染了受害主机,在受害主机上通过powershell命令创建WebServer,Ddrivers服务和计划任务、创建k8h3d账户并进行提权:将账户加入user,Administrator组,

(2)12:29 02 利用创建的k8h3d账户通过IPC成功登录受害机器。

三 、总结

3.1 处置建议

1、安装杀毒软件进行病毒查杀.

2、安装永恒之蓝补丁。

3、关闭445,139端口。

4、提高员工安全意识。

3.2 思路总结

本次溯源思路如下,关键点在于对受害主机感染病毒时间附近的日志进行分析,分析登录行为,服务等:

1、通过在主机获取的信息确定病毒种类。

2、通过分析主机感染病毒时间附近的:远程登录日志及登录后的行为,推测病毒传播方式。

3、通过分析通过分析主机感染病毒时间附近的:服务,其他登录记录确定病毒的传播方式和传播源。

希望本文能给溯源的伙伴提供相关思路。

*本文作者:xiaoxinling,转载请注明来自FreeBuf.COM

来源:freebuf.com 2020-05-26 09:00:21 by: xiaoxinling

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论