记录一次应急响应

背景:
说是edr一直告警,技术初步排查找不到对应计划任务及开机启动,告警却每20分钟触发一次,寻求远程支持

首先按照常规看的确没看到异常项
然后看看系统日志
日志显示主机从2020年1月12日之前已经被控,日志记录到12号凌晨五点,再往前就没有powershell日志,从12号开始一直通过powershell执行命令
从命令来看用的是无文件攻击技术
image
取日志内容Base64解码内容
image
分析内容发现,攻击者通过绑定WMI事件,注册stem_Anti_Virus_Core类,向system_Anti_Virus_Core的属性中写入恶意利用,即只要WMI服务运行,当监控到指定事件发生时,就会执行攻击者预先设定好的功能
使用工具查看wmi启动项为空
image
使用系统自带的wbemtest.exe查看WMI测试器
image
从枚举出来的类中滑到最后发现System_Anti_Virus_Core类
image
打开\.\root\default:System_Anti_Virus_Core类,发现写入的异常属性
image
解码得到
image

image
image
从以上行为特征看符合挖矿程序行为

百度一下这个挖矿程序
根据这个挖矿程序的特征找到了
2020年1月16日建的ipsec
Netbc
image

未发现多余的账号
image

未发现可疑的计划任务

image
image
未发现可疑的开机启动
image

最后处置:
1、删除System_Anti_Virus_Core及相关实例
2、删除杀软查出来的所有东西
3、删除查出来的ip策略
4、新建一个规则,禁用445、135、137、138、139端口
5、做一次全盘扫描,查杀后重启
6、开机后再扫一次,观察20分钟,没问题修改密码

出站:
image
入站:
image

参考
https://www.trendmicro.com/vinfo/us/threat-encyclopedia/malware/coinminer.ps1.malxmr.ae
https://www.csdn.net/tags/Ntjacg4sNTk3NjgtYmxvZwO0O0OO0O0O.html
https://blog.css8.cn/post/5331323.html
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=88969
https://sec.lz520520.com/2019/10/280/


声明:
本文章用于学习交流,严禁用于非法操作,出现后果一切自行承担,阅读此文章表示你已同意本声明。

Disclaimer:
This article is for study and communication. It is strictly forbidden to use it for illegal operations. All consequences shall be borne by yourself. Reading this article means that you have agreed to this statement.