blackmoon事件应急响应

逆向病毒分析 2年前 (2022) admin
956 0 0

    


#01  事件背景

blackmoon事件应急响应

TDP检测到远控木马(BlackMoon)的告警,通过sysmon发现感染程序为sAep.exe,删除后隔天发现恶意程序再次生成,确认终端中有异常病毒文件无法清除



#02 系统分析


blackmoon事件应急响应

发现目录:

C:UsersadminAppDataLocalTempAC692ECB.tmp,发现还存在多个文件。

blackmoon事件应急响应 

进行沙箱分析


blackmoon事件应急响应 

sAep.exe(恶意)



thumb.db(未知)


blackmoon事件应急响应 

tp.exe(恶意)


blackmoon事件应急响应 

desktop.ini(未知)


 blackmoon事件应急响应

随后对可疑文件desktop.ini进行分析,此浏览器主页篡改配置文件,通过将主页篡改伪造的2345主页,域名为i2678.cc,并且由主机自主访问down.m27p.com下载恶意后门文件sAep.exeiwg.exetp.exe


blackmoon事件应急响应 

i2678.cc是通过爱域名私人注册的恶意域名


blackmoon事件应急响应 

随后分析恶意文件的创建日期,可以发现最早的创建日期是eAup.exe,时间为6151512分,而desktop.ini的创建时间是6151445分。

通过虚拟机执行发现,eAup.exe的流量特征就是外联154.31.3.17

于是可以推测出攻击者的攻击过程,eAup.exe->desktop.exe->sAup.exe

并且分析~1.log文件,发现其可能为恶意文件的执行日志,并且通过360se安全浏览器Gamebox来进行权限维持。


blackmoon事件应急响应 


随后通过分析主机日志,验证了攻击者的权限维持方法。随后卸载360浏览器,清除掉第一个权限维持。

blackmoon事件应急响应 


防病毒升级到新版本病毒库之后,可扫到explorer进行调用的恶意dll文件(Product.dll,路径为:C:Program Files(x86)GameBoxProduct.dll

blackmoon事件应急响应 

Product.dll 沙箱分析结果

blackmoon事件应急响应 

清理掉Product.dll文件后,持续~1.log文件停止增长,且未发现异常外发流量,确认第二个权限维持方式清理成功。



#03  事后处置


blackmoon事件应急响应

三、事后处置

1、 隔离被感染区域与其他安全域的连接

2、 对受害主机进行断网处理并进行重装系统处置。

4、 对被感染区域的主机进行漏洞排查。

5、 增强业务系统主机的账号密码强度,防止密码爆破。

6、 通过防病毒进行全盘查杀。

7在上网行为管理处封禁恶意IOCs

down.m27p[.]com:

7yx77[.]com

38.105.125[.]77

154.31.3.17

tj.gogo2021[.]xyz




#04  总结


blackmoon事件应急响应

此次发现的病毒文件为BlackMoon僵尸网络病毒。并且通过样本分析,发现攻击者于6月15日在主机上创建了后门,并篡改了浏览器主页,通过desktop.ini文件使被害者主机自主下载BlackMoon僵尸网络病毒,并且通过360se.exe(360安全浏览器),explorer进程加载的GameBox恶意dll进行权限维持(其原理是通过dll劫持的方法进行白加黑维权)。该主机并未映射公网,其源头推测系使用者安全意识不够所引起。最终成功清理掉两个权限维持点。



往期内容推荐

啥?白帽子进来了。。。

软件安全开发最佳实践之安全开发模型篇

做个入门记录先!


blackmoon事件应急响应





原文始发于微信公众号(A9 Team):blackmoon事件应急响应

版权声明:admin 发表于 2022年7月24日 下午6:09。
转载请注明:blackmoon事件应急响应 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...