新型CC通信木马反查杀的姿势研究
本帖最后由 丶小蓝丶 于 2018-8-21 01:58 编辑0×0 概述
最新接到客户反馈内网某终端 PC 出现大量与国外站点通信的流量被某安全感知系统识别,各大杀毒软件均无法查杀干净主要表现为查杀完成之后又重新生成陷入死循环过程,某安全团队联合某安全人员及时响应定义此事件为新型的 CC 通信事件表现出了较强的反查杀能力。
主要表现在如下特点:
1. 注入多个进程且互为守护进程,防止被停止1. 添加到注册表设置自启动、同时设置定时任务
2. 注入多个系统进程同时为守护进程防止被中断
3. 被注入的进程同时监控注册表启动项、定时任务、病毒母体是否被修改或被删除,被删除后及时创建新的副本
4. 监控进程是否存在 Teamviewer 连接,若出现 teamviewer 进程将同时注入到 teamviewer 进程
0×1 现象
系统进程 svchost.exe 与国外恶意站点进行通信连接:
自启动项:
定时任务:
病毒母体如下:
手动删除此文件会在 5 秒钟后重现生成出现。被注入的进程:
拉起连接进程的父进程已经退出:
通过对被注入的进程进行 PE 的分析如下,有明显的隐藏模块:
0×2 逆向分析
导入资源后解密,并分配好内存并创建进程
检查本机是否为虚拟机:
注入到 explore 进程与 svchost 进程:
添加到注册表的自启动项:
检测 Teamviewer 进程的启动,注入到 teamviewer.exe 与 tv_win32.exe 二个进程
注入函数如下:
0×3 处置建议由于系统被注入的进程比较多,往往无法同时删除干净使用 Teamviewer 远程处理则并没有处理干净的可能。因为建议客户启动安全模式,在安全模式下操作删除相关文件后,清楚病毒后建议使用深信服 EDR 工具进行确认。1. 删除病毒母体路径如下:C:\ProgamData\{98F540C4-1ECB-44AE-E638-75D7BBA364BA}\354ae05b.exe2. 删除涉及此母体开机启动项目3. 删除涉及此母体定时任务
0×4 加固建议1. 根据有关数据收集得知,此病毒后门主要通过软件捆绑的方式安装到电脑的操作系统,因此建议到软件供应商官网或第三方可信平台下载软件2. 安全无小事,日常需注意。3. 部署某些杀毒软件产品对终端进行查杀与防护
希 望 你 的 热 心 和 C B 能 帮 我 回 回 血
*本文作者:千里目安全实验室,转载自FreeBuf.COM
我也有用TV,在C盘这个C:\ProgamData\{98F540C4-1ECB-44AE-E638-75D7BBA364BA}目录下,没有发现有{98F540C4-1ECB-44AE-E638-75D7BBA364BA}这个项,应该就没有中马吧! cscsxiaojie520 发表于 2018-11-16 15:37
头像不错 谢谢楼主
{:1_909:}哈哈就这样子看着你
这个贴 可以 收藏了 正需要呢 很及时,彻底的分析,感谢!!!!! 学习一下 666,分析的很好 谢谢楼主无私分享 彻底的分析,感谢! 佩服,佩服,高人 围观大佬,学习学习