点击蓝字 关注我们
介绍
某天早上上班,刚打开态感平台,就发现有一条VenomRAT木马的告警,一下子困意全无,拿着Windows应急响应手册,开始分析是否是真的有主机失陷,如何失陷的,以及造成了哪些影响。
分析过程
在网络侧发现内网有台服务器访问VenomRAT木马关联的一个域名:
尝试查看域名对应的IP, 发现已无法解析
登录主机进行排查,尝试利用process monitor定位发出请求的进程,根据网络侧告警日志里发起解析请求的源端口和process monitor的UDP发送活动记录进行对比确定了对应的PID,但定位不到具体恶意程序进程,只能看到是svchost进程发起的域名解析的请求,一度陷入僵局。
根据之前的经验,尝试修改本地hosts文件,配置一条A记录,将域名解析到自己的主机,并且自己主机开启HTTP服务或者使用nc之类的工具监听一个TCP端口,让域名解析成功并正常建立TCP连接。接着通过`netstat -ano`定位到了具体发起请求的PID:
但该程序为Microsoft提供的程序InstallUtil.exe,用于通过执行.NET二进制文件中指定的特定安装程序组件来安装和卸载资源,Microsoft数字签名,并且文件时间并无变化,确认是合法的EXE。
而恶意请求确实是由它发起,怀疑是进程注入或者DLL侧载。利用工具pe-sieve对进行扫描,确认为进程注入并转储出了可以的程序。
将上面dump出的文件上传到沙箱进行分析,确认该程序运行后会请求之前的恶意域名。
因为InstallUtil.exe进程是被注入代码并且被运行启动,意味着应该还有执行这一操作的母体。最后在Defender的查杀记录找到某破解程序,结果也显而易见,就是破解软件被插入后门。
还原文件,继续丢云沙箱进行分析,进一步确认该破解程序就是为源头。
然后根据云沙箱显示的恶意程序行为活动进行后门排查,同样发现早已被Defender查杀。
根据破解程序所在文件夹名称确认破解程序来自https[:]//www.gopaysoft[.]com,最后再常规后门排查走一遍,没再发现异常,并在态势平台确认网络侧无其他异常行为。
总结
1、当只能看到是系统合法进程发起可疑的DNS请求,无法定位到实际恶意进程时,我们可以通过修改hosts文件的方式,让恶意域名解析成功并建立TCP连接,然后可以用netstat或者tcpview之类的工具就容易定位的具体的可疑进程。
2、在系统找不到恶意程序时,可以在防病毒软件的隔离区去找找。因为有的恶意进程是在执行代码注入时并检测到,然后被隔离,但是代码已经注入并运行成功。
3、pe-sieve以及HollowsHunter工具对于shellcode注入,代码注入等检测很有效,在实际应急响应过程推荐可以使用下。
4、贪小便宜吃大亏,企业应该建立完善的软件合规策略,禁止使用未授权的软件,尤其是破解软件。
IoCs
网络
myvenomous.ddns[.]net
文件
uipath_kg.exe/Qlibfsts.exe
b98fdbe81d02db018fa1b23abd56ab90
Tips
为了方便沟通交流,我们建了一个技术交流群,欢迎大家加入,对应急响应,蓝队,域渗透,红队相关技术交流分享。
原文始发于微信公众号(Desync InfoSec):从未授权使用破解软件到VenomRAT木马的应急响应