Windows应急响应-灰鸽子远控木马

目录

• 应急背景
• 木马查杀
  • 1.查看异常连接
  • 2.根据端口号查看对应进程文件
  • 3.排查异常服务
  • 4.发现启动项
  • 开始查杀
• 入侵排查
  • 1.账号排查
  • 2.查看服务
  • 3.查看启动项
  • 4.查看计划任务
  • 5.网络情况
  • 6.进程排查
  • 重启再排查一遍

应急背景

历某今天刚入职公司，拿到公司电脑后准备下载一些接下来工作中要用的办公软件，他就去某度上直接搜索，由于刚入职，兴奋的他并没有仔细看是否为官方下载，下载下来后也是无视风险双击安装，但是他发现安装完成后，安装包自动消失，且在电脑上也没有对应的程序可启动，他这时候意识到可能是中病毒木马了，喊来安全人员竹某来帮他排查一下。

竹某了解情况后开始下面的应急操作。

木马查杀

1.查看异常连接

#findstr "ESTABLISHED"表示查看已建立连接的ip&&端口
netstat -ano | findstr "ESTABLISHED"

正常真实背景中需要拿ip去查看归属地是否属于公司的，但是这里我自己搭建的环境就忽略了。

2.根据端口号查看对应进程文件

开始查找进程文件，这里直接用windows查找没找到，只找到一个类似的，那么基本可以确定做了一个文件隐藏，这时候只能上工具了。



这里本来是要用xuetr，但是xuetr在我这个win7中用不了了，如果能用的话最好还是上xuetr，这个工具还是挺吊的，但是现在网上好像找不到，没了。

我们可以使用PChunter这款工具能看到隐藏的文件，同时还能帮你排查进程，PChunter用的比较多，还是挺牛的，但是后面排查进程这些我会更多的用其他工具来辅助，因为最近在了解学习其他工具。

PChunter工具分享地址：https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb

打开PChunter后其实你也会发现他存在没有官方签名的进程模块，再次印证了他的可疑性。

然后就可以定位文件了



然后来到下图位置，这里就能看到文件了



这里先不删除，先右键拷贝出来，保留样本。



丢到沙箱上跑，就可以确定是木马后门了。

线索卡：

1.已确定了木马后门以及他的文件路径

3.排查异常服务

接下来我会使用Process Hacker和微软自带的Process Explorer。

Process Hacker工具分享地址：

https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g

Process Explorer工具分享地址(微软的也可以到官网下载)：

https://pan.baidu.com/s/1hipHkotl7-B-N9XfmRhmnQ?pwd=hb2s





打开Process Hacker可以看到这个文件下面还开了一个子进程IE，现在就很明确了，干掉这个就行，但是为了方便起见可以根据这个进程找到所有相关文件。

可以优先排除有签名校验的

发现依旧是这个可疑进程之后，我们取消掉排除已签名的进程，这样可以看到更多，可以看到我们的Process Hacker找到的也是这个程序文件，取消取出签名校验，查看全部可以看到同样sec520下面还有一个子进程ie。



接着右键这个父进程sec520，看到有服务，那就跳转到服务中查看



咋一看居然是windows，这里就不能随意判断了



我们右键查看属性



开幕雷击，直接就看到瑕疵了，要是木马修改了这个描述我还真一下子分不清楚。

线索卡：

1.已确定了木马后门以及他的文件路径

2.进程存在对应的服务，服务名为windows

4.发现启动项

为了更进一步验证我们的判断，我再用上Process Explorer工具

这里打开视图方便看到更多信息，下面是我打开的选项列，根据需求自定义。



然后可以看到验证签名中依旧是对应之前的那个程序文件有异常



接着我们发现最右边看到了还存在自启动项，还有给出了对应的注册表的位置(工具给的是HKEY开头，但其实是下面这个注册表位置)：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services



怕删不彻底的话还可以借助另一个工具：

Autoruns工具分享链接：

https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0

打开这个工具可能稍稍需要等待一会，他需要扫描时间。

你会看到确实存在自动启动项。

线索卡：

1.已确定了进程、木马后门以及他的文件路径

2.进程存在对应的服务，服务名为windows

3.存在自启动项

开始查杀

1.删除进程和文件可以直接PChunter一步搞定，注意这里是因为我们确定了这个不是系统自带的才能删除，有的他是依赖在系统exe文件，所以删除要慎用。

（如果你希望手动删）首先先手动停掉进程才能删除文件，命令如下

taskkill /PID 2276 /F

接着删除文件，使用PChunter删除

2.删除服务

先前用Process Hacker定位到了服务，肯定也能进行删除，Process Hacker会删的比较彻底。



如果不给用工具的话就在windows上搜索服务，然后找到对应异常服务删除即可。

3.删除启动项

这里我删完服务后发现启动项也已经删掉了，看来Process Hacker还是挺吊的，下图是之前截图，如果你发现还有异常启动项的话就需要删除。



然后排查是否还有异常连接，发现已经干掉了，而且没有继续建立连接

入侵排查

这一步是弥补在木马查杀中没有顾及到的，因为应急肯定是比较着急的，先解决了头部问题，然后这里接下去就要处理后门了。\

1.账号排查

使用命令查看(账户做了隐藏的话该命令基本看不到)

net user

可以右键计算机管理排查异常用户



查看普通用户和用户组是否异常

(即：普通用户是否加入了管理员组之类的异常)

这里一切正常



排查是否存在克隆账号，手工查看

win+r输入regedit打开注册表，接着找到以下位置：\

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

如果SAM打不开就右键他，把管理员权限设置为完全控制



Names账户中的类型值对应上面的账户数据

fuck账户



administrator账户



接着对比一下数据，发现是一样的，那么就是存在克隆账号了





更多真实情况是黑客会伪造一个让你容易混淆的账号，一般不会起名字像fuck这种名字，那么我们知道是克隆账号后，和运维沟通一下直接删除掉即可。

直接在注册表里面删除的话，不要使用系统命令直接删，这样可能会损坏被克隆的那个好的账户，我就踩这个坑了。

注册表中找到fuck账户还有对应的数据，右键都删除即可。

同时也可以使用D盾工具来查看是否存在克隆账号

D盾工具分享链接(也可以去官网下载)：

https://pan.baidu.com/s/13hCSYpV5Mn_1JMzy4nSkSQ?pwd=kott

D盾中发现克隆账号，右键删除即可

如果D盾删不掉的话，同样直接在注册表删除是最好的。

接着顺便查看一下有没有开启远程桌面连接，跟同事沟通一下应该是不开启的，直接关掉即可。

2.查看服务

服务就使用PChunter来查看，着重看没有厂商签名的



由于我们之前的后门服务是Windows名字，所以要再看下是否又重新启动或者没有删干净。

这里需要知道系统服务跟以下的注册表几个项目相关：

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services

我们去查看这三个是否有windows后门相关，因为之前后门服务名字叫做windows，但其实是灰鸽子后门。

都查看完成后发现确实删干净了，不存在后门服务

---

PS：注明一下

不建议使用PChunter和Antoruns来删除，删不干净，实测发现这两貌似只会将注册表中主要数据的删除，剩下另外的几个目录项还有残留。

比如autoruns中剩下三个目录项都没删干净，可能autoruns只能删除开机自启相关的，只能继续手工将其残留项删除。

3.查看启动项

启动项可以用Autoruns和PChunter看，着重看没有厂商签名的



系统文件夹查看启动项



同时定位到文件夹中使用PChunter直接看有没有隐藏文件



发现没有隐藏文件，启动项正常



接着win+r输入gpedit.msc，查看组策略，这里也可以看到有没有启动脚本

还可以继续排查一下注册表对应的启动项

4.查看计划任务

win+r输入taskschd.msc，打开计划任务，一切正常

5.网络情况

查看网络与端口情况，一切正常

netstat -ano

---

6.进程排查

可以通过PChunter等等工具进行二次排查，着重看sec520字眼，主要看是否又运行起来了。

查看pid对应程序以及对应的服务名，一切正常

tasklist /svc

---

重启再排查一遍

重启再次查看。



剩下的就是排查进程文件是否又再生了，服务是否还在，对应的注册表中是否还残留或者又再生，也就是说你之前查杀过程中遇到的异常情况都要再次排查一遍。

这里省略过程只查看了是否又对外连接了

---

这时候在不远处的一位黑客发现他的灰鸽子放飞了，查看确实没有上线机器。

---

一切正常，收工。