性感洞庭人,在线发文(嘶哈嘶哈)
01 故事起源
依稀记得,那是给客户应急后的一个寒冷冬夜。望向出租车窗外,漫天飘浮着自由的白色晶体。
“晚来天欲雪,能饮一杯无?”
“能!”新来的实习生小兄弟倒是爽快得狠。
酒足饭饱,正在回味,猛然听到他说什么“性感美女”。这我不就来劲啦!仔细一聊,原来是他们老师在上网课,共享屏幕的时候弹出个清凉美女。好家伙,原来是这种“美女”。(呜呜呜,悲伤辣么大)
感谢我们组同事的激情cos~
大家电脑开机后右下角是否出现过“性感荷官在线发牌”、“是兄弟就来砍我”的小弹窗,重启十几次他依然在你开机不久后出现。
其实在Windows系统中,我们经常可以看到一些软件开机之后会自动运行,并且无需手动双击启动。
此类软件的主要实现方式是通过系统提供的一些机制包括驱动、服务、任务计划,以及用户登陆时运行的程序等。
在Windows操作系统中有超过200个文件系统和注册表位置可以被程序用来配置为自启动,这些位置通常被叫做自动启动延展点(Autostart Extensibility Point),也就是ASEP。
在Windows系统中有提供msconfig.exe和services.msc工具,可以向用户展示部分自动启动项,但所显示的内容并不完整。
为了方便排查恶意程序,在我们日常分析中可以使用“Autoruns”等更专业的工具去发现系统哪些ASEP被使用,通过工具去快速排查系统中的恶意程序。
本文主要以微软官方的“Autoruns”工具辅助,对启动项排查进行分享。
02 初步探索
以任务计划排查为例,任务计划程序(Task Scheduler),也称计划任务,是Microsoft Windows中的一个组件,是最常用的启用项之一,也是木马病毒喜欢使用的启动项之一。比如“驱动人生木马”会在系统的任务计划中创建多个计划任务,实现挖矿、攻击等不同的功能。
作为安全人员,我们主要关心的是每一条任务计划操作的“启动程序”。Windows自身有提供命令和图形化界面进行操作,但是其查看视角不利于安全排查。
为了方便排查,我们可以使用“Autoruns”等工具进行排查。
打开“Autoruns”工具,跳转到“Schedule Tasks”选项卡,我们可以看到计算机上所有的任务计划以行列的形式进行排列,可以清晰的看到我们需要的任务计划名称、镜像文件路径,以及文件的数字签名状态。
通过该工具可以观察到存在一些标记为粉红的任务计划,表示该计划任务“Image Path”路径对应的文件数字签名不可用。
因为大多数木马程序是没有正规的数字签名,我们这个利用这一点快速排查可疑的启动项。同时可以在资源管理器中通过Image Path找到对应的可以文件,然后上传到微步的云沙箱进行分析。
通过微步云沙箱多引擎扫描、静态分析、动态分析、流量分析、情报关联等多维检测服务,进行快速研判。
使用“Autoruns”工具初步排查时为了避免干扰,快速定位可疑项。
可以在“Options”菜单栏中,勾选前三个选项,“Hide Empty Locations”隐藏为空的ASEP、“Hide Microsoft Entries”隐藏文件属性中公司字段包含“Microsoft”的ASEP、“Hide Windows Entries”隐藏文件属性中公司字段包含“Microsoft”并且在%windir%目录的ASEP。
但“Hide Microsoft Entries”和“Hide Windows Entries”可以被轻松绕过,所以我们初步排查之后还需要去掉这两项的隐藏,再进行一次排查。
切换到“Everything”选项卡,我们可以看到包括“Schedule Tasks”等所有存在的ASEP自启动项。
对于已经确定的可以自启动项,我们可以使用在该自启动项上右键,点击Delete进行删除。删除后该文件在Tasks目录下的xml文件也会被删除。并且进入资源管理器跟进Image Path找到对应的PE文件并删除。
03 专业人士
Autoruns自带一个启动项对比功能,可以帮助我们快速对比运行病毒前后的启动项信息是否有新增。我们在自己本地沙箱中建立好环境后,通过Autoruns先保存一份启动结果文件至“source.arn”,然后再创建快照。
分析恶意样本时,在样本运行结束后可以使用Autoruns自带的对比功能(File->Compare)与之前“source.arn”进行对比,这样可以快速知道样本文件是否存在启动项信息。
04 知识拓展
通过Autoruns工具我们可以发现系统的大部分ASEP都存储在系统的注册表中,所以当我们已经定位到一场进程但是无法找到对应的启动项时,也可以在注册表中搜索进程的名称,说不定会有意想不到的发现。
05 参考文献
《Windows Sysinternals实战指南》
https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns
– END –
2. 内容引用,请注明出处:以上内容引自公众号“微步在线应急响应团队”
原文始发于微信公众号(微步在线应急响应团队):与“性感荷官”的那些事儿… …
