我被攻击了 入侵 连接webshell 木马
诡异的后门
weiwhy 2019-06-07 17:30:26 1013人浏览

在一次应急响应中,同样的SQLserver入侵手法,不同的是,这次留后门的手法比较诡异,后门极其隐蔽,位于font目录,windows目录,且于系统文件命令相同,作为系统文件隐藏,手法复杂,诡异。且数量在以往我的应急响应经验中,算是比较多的一次。

image.png

将守护脚本放置于font目录,无法通过资源管理器查看:

image.png

image.png

image.png

image.png

image.png

image.png

image.png

image.png

仅仅在font目录下,发现的样本就有20个,fonts的所有文件的截图,我作为样本fonts.txt,大家可以看看

上边只是冰山一角,如下图,这个下边基本都是,在wintcpautoproxysvc目录下是加载器,有兴趣的大家可以研究研究,我打包好了已经ProgramData。

image.png

连我自己都很难相信,这是一台主机上的吗?事实上是的

image.png

win64.exe什么鬼,长得这么丑,一定有问题。

image.png

没错,果然有问题。

kvmonXP.exe,这个文件有什么问题呢????为什么要隐藏呢??问题是这玩意有微软签名的啊!!

image.png

不急,慢慢来,分析一下啊

https://s.threatbook.cn/report/file/d92cfffbd3060aa141eab23a8792aa05a0494a6323f92d10d457a8f89eab62c2/?env=win7_sp1_enx64_office2013

这里是分析报告》》》》》》》》其实这老哥挖矿来了

image.png

readPWD.exe竟然叫360会员中心,想必看名字也该知道,这玩意就是用来的读windows的密码的吧,还叫360会员中心,我就想知道360给你多少钱,我给你3倍。

image.png

omgd,narrator.exe又是什么鬼,事实上》》》》》》

narrator的报毒率极底。

image.png

image.png

image.png

还有fonts目录下的几个ini文件

image.png

image.png

他们均为注册表相关文件,已经打包完毕,ini.rar感兴趣的老哥可以下载研究。

——————————————————————————————

到这里,你以为就完了吗?NONONONO

image.png

fonts目录下的样本还挺多的,我们照旧打包aaa.rar,感兴趣的朋友可以下载分析。

lsass.exe,这是什么玩意,还自解压脚本命令。

image.png

image.png

image.png


然后conhosts这是什么玩意???是系统文件吧,我没读过书,你不要骗我////

image.png

虚惊一场,原来是正常文件,可是???Microsstot是什么鬼??我拼音学得不好,你不要逗我啊。。。。

靠,其实这丫的也不是什么好鸟/////////////////

image.png

匿名用户 2019-06-13 22:13:52 回复
匿名用户 2019-06-13 17:04:12 回复
Microsfot哈哈哈哈哈哈
匿名用户 2019-06-10 21:28:53 回复
学习了
xxx 2019-06-08 10:22:22 回复
赞!
approxy 2019-06-07 21:20:30 回复
4j45j56
approxy 2019-06-07 21:20:27 回复
j65j 46j
匿名用户 2019-06-07 18:47:04 回复
分析的很流畅👍
今日推荐