主機應急響應與電子取證的經驗分享

09-04

0x0 背景

隨著主機安全的問題日漸突顯，挖礦勒索後門等病毒隱蔽手法越來越多種多樣，僅僅依靠傳統的安全工具不能完全查殺出相關惡意程序。安全事件具有突發性，複雜性與專業性，基於windows的一些運行機制人工排查安全事件需要從多個方面去檢查與清除，拋磚引玉提出以下思路供參考。

惡意程序本身有網路行為，內存必然有其二進位代碼，它要麼是進程的 DLL /如此模塊，通常為了保活，它極可能還有自己的啟動項，網路心跳包。

總之，可以歸結為如下 4 點要素：流量，內存，進程，啟動項再加上外部信息，如威脅情報，就可以形成比較完整的證據鏈。

定位到可能存在惡意軟體的主機後，首先先使用殺毒軟體或者 EDR 工具進行全盤掃描查殺一些簡單常見熱門的病毒一般都被收錄在熱門的特徵庫裡面，掃描出來就可以以最小的時間成本識別與解決惡意文件。

根據一些殺毒軟體的報警就可以標識出惡意軟體的類型與名字，如下圖

為此一個蘭塞姆（勒索）類型的Wannacry（想哭）家族的病毒樣本，對於此類情況往往可以直接一鍵處理較為簡單。

無論是挖礦病毒，殭屍網路，肉雞， CC 伺服器，內網傳播等惡意行為都需要與其他主機進行通信，則本地必須調用相應的網站鏈接。包括本地地址，本地埠，遠程地址，遠程埠等操作。如果遠程地址為一個惡意網站，便可以輕易獲取到系統的中毒進程，方便快捷的定位問題。

檢查系統的連接情況使用 netstat 命令或者藉助一些成熟的工具如PChunter ，TCPViewer 有利於更加直觀的查看進程情況。

通過此圖可以發現 mssecsvc.exe 對大量隨機的外網IP 的445 埠進行SYN 包的探測，這是Wannacry 病毒的傳播過程。

對於一些其他的通信過程流量，我們往往需要通過其他方式來識別，這裡推薦的Wireshark 的抓包工具進行抓包識別惡意流量，以下為Nmap的的埠掃描的數據包。

病毒文件在系統中運行必定依賴於exe可執行程序，windows當中簡單的將程序分成三大類：

1. Windows核心進程 // 如

2.系統進程// svchost.exe(Windows服務主進程) 、lsm.exe(本地回話管理器)

3.用戶進程 // qq.exe(騰訊QQ主程序) 、chrom.exe(Google瀏覽器）

主要有三種模式在系統中運行：

1.病毒自己的exe程序

這裡可以使用PChunter工具對進程進行查看識別，如下的這個Wmipvrse.exe無廠商簽名且名字有點詭異。

常規方式可以通過百度查看一下，或者計算一下程序的Md5數值之後上Virustotal進行進一步確認，通過一些網友的評論與一些威脅情況往往可以判斷出一些可疑的文件。

使用工具計算一下文件的hash數值，建議提取Md5格式如下：

D2A4D1247752FB186841FF4C2985341B

然後上virustotal進行查看網址如下：

平台能夠準備識別，並提示類型Misc.Riskware.BitCoinMiner(比特幣挖礦機)，英語不好可百度之。

還有一些其他類似於dll注入、PE文件注入、無文件攻擊、驅動注入、MBR感染等其他方式這裡不多做討論，特殊情景需要特殊處理。

病毒為了實現保活，不可避免會添加或修改啟動項、服務項，因此啟動項也是非常重要的入手調查點。黑客為了保持病毒能夠開機啟動、登錄啟動或者定時啟動，通常會有相應的啟動項。

這裡可以通過藉助工具autoruns進行查看，主要檢查點為開機自啟動與計劃任務以及一些系統服務。

比如這個註冊表

HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun處的有一個偽裝成Chrome的C:Windowsservicecrsssr.vbs的啟動項，就是病毒的自己添加的，定位到路徑後直接刪除。

惡意程序運行在windows系統當中必然會載入到系統內存當中，程序可以通過獲取到系統進程與用戶進程的PID之後，需要根據系統的Pid導入系統當中的PE文件進行確認，這裡使用pd進行dump文件。

下載連接如下：

https://docs.microsoft.com/zh-cn/sysinternals/downloads/procdump

這裡輸入

pd64.exe -pid 可疑進程pid -o 輸出路徑：

後續可以進一步使用IDA（互動式反彙編器專業版人們常稱其為IDA Pro，或簡稱為IDA）或者ollydbg(od反彙編工具)對PE進行分析導出的文件列表如下：

1.選擇合適的工具可以減少大量的成本，君子生非異也善假於物也。

2.心上學，事上練、知行合一、少度娘、多谷歌。

*本文原創作者：si1ence，本文屬FreeBuf原創獎勵計劃，未經許可禁止轉載