昨天某时,正吃完午饭的我,揉着眼睛打开态势感知平台准备日常划水,突然一个告警引起了我的注意,于是我“啪”的一下,很快啊,赶紧把相关告警进行溯源排查,一个小时后就生成了一份像模像样的安全分析告警溯源报告,立即联系相关单位做下发,同样的在我正慢慢悠悠吃晚饭的时候,突然被拉进了一个微信群,主机管理员告诉我病毒查杀不出来需要我的协助,我就纳闷了,杀个毒有那么难吗?还得我亲自出马,后来我才发现事情没有我想象的那么简单……安全分析1. 态势感知平台告警情况如下,某单位主机疑似感染LifeCalendarWorm挖矿蠕虫2. 进行溯源分析发现源IP:10.x.x.x每隔10分钟连接一次恶意域名,恶意域名已在微步威胁情报库进行查询威胁有效,以下为举个“栗子”:3. 分析完毕基本确认该主机感染挖矿病毒,迅速出具安全事件溯源报告,下发给对应单位做处置操作安全建议如下:人工分析当我在下发完分析报告后高枕无忧的吃晚饭的时候,此时突然“啪”的一下,很快奥,我没有闪,被拉到了一个微信群,里面负责该主机的工程师说病毒查杀不出来。我:杀的出来。他:杀不出来。我:杀的出来。他:杀不出来。我:你换个杀毒软件,企业版的用起来他:换了三个了我:.……此时,我心中一万XXX飞奔而过,你这是在质疑我这练习时长两年半的老师傅,我现在就实地给你表演一个,“鸡你太….”不,上机杀毒从入门到精通1. 排查cpu及内存运行情况,cpu及内存运行正常,未发现进程大量占用cpu运行:2. 内存使用情况正常3. netstat -ano查看本机对外连接情况,未发现连接恶意ip情况:4. 排查用户情况在win+r中输入msc发现该机器为域控制器5. 使用net user排查用户情况,发现多个用户,该机器为域控制器,属于正常现象6. 排查计划任务情况,跟管理员进行确认未发现异常计划任务7. 在任务管理器网络连接进行查看发现dns.exe进程中存在态势感知平台报送IP初步分析结论:并非该主机感染病毒木马,该主机疑似为域控服务器包含dns服务,存在其他域内子主机通过该主机进行dns解析,所以造成了态势感知平台告警源ip为该主机,实际情况为域内子主机感染病毒。追查受害者大意了啊,告警平台他欺负我这22岁老同志,原来由于探针部署位置在核心交换机,导致未追踪到真实受害者机器,没事,反正排查出来就让他们去给下面的机器做杀毒吧,但这时客户又要求追查出真实中毒机器,哎呀,难道我的闪用完了吗,顿时恶向胆边生,手里不由点开了word打上了五个大字,辞职申请书。但一想到那还在远方等着我发工资带她吃饭嗷嗷待哺的女朋友,不由的退缩了,“打工人,打工魂,打工人都是人上人,干就完了。奥利给”!!!1. 抓包神器wireshark:要想分析网络会话肯定得使用wireshark在该主机进行安装,此时,出乎意料的事情发生了,winpcap安装到一半机器卡住了,完全不能动了,这是业务主机啊,旁边工程师看到了 旁边工程师:"说哎呀G工啊,准备下岗吧" 我:“……..”2. 联系主机管理员进行重启,还好没啥事3. 下载便携版wireshark,根据病毒外连域名时间规律进行抓包,抓到真实受害主机4. 告知主机管理员受害者IP进行杀毒,事件解决!!!总结这年分析工作太依赖于安全设备告警,忽略了老手艺,之后多上机处置,把wireshark再玩的6一些,此次处置过程中发现了很多新亮点,新技能。还好有万能的百度,之后多做一些人工分析工作,找找感觉,还有业务机器如果是虚拟机最好让管理员在我们上手前做快照,物理主机则让他们安装相应的软件,切莫自行上手!
本文出自快速备案,转载时请注明出处及相应链接。