记一次新型CC通信木马反查杀的姿势研究

千里目实验室 技术 2018年8月22日发布
Favorite收藏

导语:0x00 概述 最新接到客户反馈内网某终端PC出现大量与国外站点通信的流量被深信服安全感知系统(SIP)识别,各大杀毒软件均无法查杀干净主要表现为查杀完成之后又重新生成陷入死循环过程,EDR安全团队联合SIP安全人员及时响应定义此事件为

0x00 概述

最新接到客户反馈内网某终端PC出现大量与国外站点通信的流量被深信服安全感知系统(SIP)识别,各大杀毒软件均无法查杀干净主要表现为查杀完成之后又重新生成陷入死循环过程,EDR安全团队联合SIP安全人员及时响应定义此事件为新型的CC通信事件表现出了较强的反查杀能力。

主要表现在如下特点:

1.注入多个进程且互为守护进程,防止被停止

1.添加到注册表设置自启动、同时设置定时任务

2.注入多个系统进程同时为守护进程防止被中断

3.被注入的进程同时监控注册表启动项、定时任务、病毒母体是否被修改或被删除,被删除后及时创建新的副本

4.监控进程是否存在Teamviewer连接,若出现teamviewer进程将同时注入到teamviewer进程 

0x1 现象

系统进程svchost.exe与国外恶意站点进行通信连接:

图片1.png 

图片2.png 

自启动项:

图片3.png 

定时任务:

图片4.png 

 病毒母体如下:

图片5.png 

手动删除此文件会在5秒钟后重现生成出现。

被注入的进程:

图片6.png 

拉起连接进程的父进程已经退出:

图片7.png 

通过对被注入的进程进行PE的分析如下,有明显的隐藏模块:

图片8.png 

0x2 逆向分析

导入资源后解密,并分配好内存并创建进程 

检查本机是否为虚拟机:

图片11.png

注入到explore进程与svchost进程:

图片12.png 

图片13.png

添加到注册表的自启动项:

图片14.png

检测Teamviewer进程的启动,注入到teamviewer.exe 与tv_win32.exe二个进程

图片15.png 

注入函数如下:

图片16.png 

 

 

0x03 处置建议

由于系统被注入的进程比较多,往往无法同时删除干净使用Teamviewer远程处理则并没有处理干净的可能。因为建议客户启动安全模式,在安全模式下操作删除相关文件后,清楚病毒后建议使用深信服EDR工具进行确认。

1.删除病毒母体路径如下:

C:\ProgamData\{98F540C4-1ECB-44AE-E638-75D7BBA364BA}\354ae05b.exe

2. 删除涉及此母体开机启动项目

3. 删除涉及此母体定时任务

0x04 加固建议

1.根据有关数据收集得知,此病毒后门主要通过软件捆绑的方式安装到电脑的操作系统,因此建议到软件供应商官网或第三方可信平台下载软件

2.安全无小事,日常需注意

3.推荐部署深信服EDR产品对终端进行查杀与防护

如若转载,请注明原文地址: http://www.4hou.com/technology/13144.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论