TDP检测到远控木马(BlackMoon)的告警,通过sysmon发现感染程序为sAep.exe,删除后隔天发现恶意程序再次生成,确认终端中有异常病毒文件无法清除
发现目录:
C:UsersadminAppDataLocalTempAC692ECB.tmp,发现还存在多个文件。
进行沙箱分析
sAep.exe(恶意)
thumb.db(未知)
tp.exe(恶意)
desktop.ini(未知)
随后对可疑文件desktop.ini进行分析,此为浏览器主页篡改配置文件,通过将主页篡改为伪造的2345主页,域名为i2678.cc,并且由主机自主访问down.m27p.com下载恶意后门文件sAep.exe、iwg.exe、tp.exe。
i2678.cc是通过爱域名私人注册的恶意域名
随后分析恶意文件的创建日期,可以发现最早的创建日期是eAup.exe,时间为6月15日15点12分,而desktop.ini的创建时间是6月15日14点45分。
通过虚拟机执行发现,eAup.exe的流量特征就是外联154.31.3.17
于是可以推测出攻击者的攻击过程,eAup.exe->desktop.exe->sAup.exe。
并且分析~1.log文件,发现其可能为恶意文件的执行日志,并且通过360se安全浏览器和Gamebox来进行权限维持。
随后通过分析主机日志,验证了攻击者的权限维持方法。随后卸载360浏览器,清除掉第一个权限维持。
将防病毒升级到新版本病毒库之后,可扫到explorer进行调用的恶意dll文件(Product.dll),路径为:C:Program Files(x86)GameBoxProduct.dll
Product.dll 沙箱分析结果
清理掉Product.dll文件后,持续~1.log文件停止增长,且未发现异常外发流量,确认第二个权限维持方式清理成功。
三、事后处置
1、 隔离被感染区域与其他安全域的连接
2、 对受害主机进行断网处理并进行重装系统处置。
4、 对被感染区域的主机进行漏洞排查。
5、 增强业务系统主机的账号密码强度,防止密码爆破。
6、 通过防病毒进行全盘查杀。
7、 在上网行为管理处封禁恶意IOCs:
down.m27p[.]com:
7yx77[.]com
38.105.125[.]77
154.31.3.17
tj.gogo2021[.]xyz
此次发现的病毒文件为BlackMoon僵尸网络病毒。并且通过样本分析,发现攻击者于6月15日在主机上创建了后门,并篡改了浏览器主页,通过desktop.ini文件使被害者主机自主下载BlackMoon僵尸网络病毒,并且通过360se.exe(360安全浏览器),explorer进程加载的GameBox恶意dll进行权限维持(其原理是通过dll劫持的方法进行白加黑维权)。该主机并未映射公网,其源头推测系使用者安全意识不够所引起。最终成功清理掉两个权限维持点。
往期内容推荐
原文始发于微信公众号(A9 Team):blackmoon事件应急响应