Windows应急响应-PcShare远控木马

news/2024/12/26 21:59:13/文章来源:https://www.cnblogs.com/dhan/p/18442627

目录
  • 应急背景
  • 木马查杀
    • 1.查看异常连接
    • 2.查看进程
    • 3.查看服务
      • 定位到注册表
    • 开始查杀
  • 入侵排查
    • 1.账户排查
    • 2.开机自启
    • 3.服务
    • 4.计划任务
    • 5.网络情况
    • 6.进程排查
    • 重启再排查一遍

应急背景

曲某今天想要装一款软件,通过网上搜索看到非官方网站进入后直接下载下来后进行安装,他发现双击安装的时候存在无响应一段时间后才开始安装,由于他自己电脑是新的而且配置也不错,没有遇到过这种情况,感觉可能这个安装软件有问题 ,所以他就找到了竹某,希望帮他排查一下电脑是否中病毒木马了。
竹某了解情况后就上机进行排查。

木马查杀

1.查看异常连接

netstat -ano | findstr "ESTABLISHED"

发现存在异常连接
在这里插入图片描述

线索卡
1.异常连接,端口号4024

2.查看进程

使用PChunter工具
PChunter工具分享地址:https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
查看进程模块
在这里插入图片描述
发现有两个dll调用模块没有厂商签名验证
在这里插入图片描述
这里使用sigcheck再次对签名进行校验判断,两个dll文件确实是没有校验的。
Sigcheck工具分享地址:
https://pan.baidu.com/s/1qqA5T1ySskwc-_gVWO1MDA?pwd=d7jl
使用方法:signatrue.exe 指定文件路径
在这里插入图片描述

接着拷贝出来丢到沙箱上,结果出来就确定是木马,看到特征Variant.PcClient,可能是PcShare远控木马。
在这里插入图片描述在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )

3.查看服务

tasklist /svc | findstr "4024"

这里看到是微信的服务名,而且还是svchost.exe,但是我们没有开微信程序,而且所有网页都关闭了,这边只有这个是建立连接的,还是比较可疑,所以要继续排查。
在这里插入图片描述
PChunter定位到该服务,可以看到依旧是没有签名校验,
在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务

定位到注册表

通过异常服务可以定位到注册表数据
在这里插入图片描述
从这里也能看到注册表中记录了后门dll的文件名路径
在这里插入图片描述

线索卡
1.异常连接,端口号4024
2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )
3.WeChat异常服务
3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

开始查杀

1.把进程杀掉
杀进程之前删看能否删掉后门dll文件
删除对应的后门dll模块
通过PChunter定位到文件位置,或者在PChunter中直接删除也行
在这里插入图片描述
在这里插入图片描述
接着就可以停掉进程了

taskkill /F /PID 4024

发现使用命令删不掉
在这里插入图片描述
尝试使用PChunter进行删除
在这里插入图片描述
成功结束进程
在这里插入图片描述
3.服务删除干净(包括注册表)
先定位到注册表将其删除
在这里插入图片描述
假设你要手动删除的话,要注意有几个地方都需要你留意删除干净,展开查看是否有service相关的目录项,有的话就需要排查,查看是否存在Wechat与后门dll文件相关的注册表,需要删除干净一点。
在这里插入图片描述

在这里插入图片描述
我这里用了Process Hacker删除服务,能删的挺彻底的,会把注册表所有相关的都删干净。
Process Hacker工具分享地址:
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g
在这里插入图片描述

不建议使用PChunterAntoruns来删除,删不干净,实测发现会将注册表中主要的删除,剩下另外的几个目录项还有残留。
PChunter不会删除相应文件。
autoruns删除后进行查看发现剩下三个目录项都没删干净,可能autoruns只能删除开机自启相关的,只能继续手工将其残留项删除。
在这里插入图片描述

线索卡
√已解决1.异常连接,端口号4024

√已解决2.进程模块定位两个dll后门文件,( WeChat.dll wechatctr.dll )

√已解决3.WeChat异常服务

√已解决3.1.WeChat服务对应的注册表:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

入侵排查

1.账户排查

这里省略步骤了,遇到了再详细提,这里账号没问题
主要排查以下几点:

  • 克隆账号(注册表)
  • 隐藏账户(注册表)
  • 异常用户(net user/计算机管理账户)
  • 用户属组关系(比如:普通用户属组变成管理员组)
  • 查看账户是否允许远程登录(3389端口)

2.开机自启

可通过系统目录、注册表查看开机自启
但是我这里直接使用Autoruns排查了,一切正常
Autoruns工具分享链接:
https://pan.baidu.com/s/1LWodcbICx0PQNrkpiagQMw?pwd=4xw0
在这里插入图片描述

3.服务

可通过PChunter查看之前的服务是否还在,同时着重排查没有文件厂商签名校验的。一切正常。
在这里插入图片描述

4.计划任务

同样在PChunter中查看,着重看没有签名校验的。
在这里插入图片描述

5.网络情况

netstat -ano

在这里插入图片描述

6.进程排查

这里同样可以使用PChunter等工具辅助查看,主要排查svchost对应的进程模块是否存在wechat或者没有厂商签名校验的。没有发现异常。
在这里插入图片描述
查看pid对应程序以及对应的服务名

tasklist /svc

在这里插入图片描述

重启再排查一遍

因为我们已经知道了是远控木马,所以这里排查的话就根据我们查杀过程走一遍。
在这里插入图片描述

1.查看对外连接netstat
2.异常进程是否又再起来了
3.svchost.exe中是否还有未签名校验的模块(留意wechat字眼模块)
4.查看服务是否存在wechat字眼


此时此刻一名黑客正在emo他的肉鸡没了
在这里插入图片描述


一切正常,收工。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.hqwc.cn/news/806458.html

如若内容造成侵权/违法违规/事实不符,请联系编程知识网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Windows应急响应-灰鸽子远控木马

Windows—灰鸽子远控木马应急思路分享。目录应急背景木马查杀1.查看异常连接2.根据端口号查看对应进程文件3.排查异常服务4.发现启动项开始查杀入侵排查1.账号排查2.查看服务3.查看启动项4.查看计划任务5.网络情况6.进程排查重启再排查一遍 应急背景 历某今天刚入职公司,拿到公…

Xinference 安装使用(支持CPU、Metal、CUDA推理和分布式部署)

也支持多卡模型并行推理1. 详细步骤 1.1 安装 # CUDA/CPU pip install "xinference[transformers]" pip install "xinference[vllm]" pip install "xinference[sglang]"# Metal(MPS) pip install "xinference[mlx]" CMAKE_ARGS="…

KeyShot基础操作1

KeyShot的基本操作,包含视图、导入导出、各个面板简介等内容。注:学习此软件纯粹是工作中突然要我去对接模型厂家,厂家不能对外提供模型原件,于是就自己学了下这个软件渲染模型。--本篇导航--快捷键 视图操作(视图基本操作、几何图形视图) 模型导入、工程保存导出 各个面…

高级语言程序设计第二次个人作业

班级链接:https://edu.cnblogs.com/campus/fzu 作业要求链接:https://edu.cnblogs.com/campus/fzu/2024C/homework/13282 学号:102400130 姓名:杨子旭 章节习题在第四题的时候发现即使代码正确也无法输出正确结果,最后发现是win7系统原因,测试发现在win10的系统可以转为十…

YouTube 注释 All In One

YouTube 注释 All In OneYouTube 注释 All In One old YouTube 批注是在视频上添加文字层,链接或热点。 他们添加了链接到其他网站或视频的交互式框(您想要的任何链接)。https://zh-cn.aiseesoft.com/how-to/add-annotations-to-youtube.html将注释支持带回 YouTube™! 201…

AnimationClip优化工具 - 删除连续相同的帧

下图中Rotation.z的前4个关键帧[0, 3](即15帧, 30帧, 45帧, 60帧),值都没变; (3, 4)Rotation.z变为60(即61帧到90帧); 后3个关键帧[5, 7]一直维持在60没变。可以分析下:前4个关键帧,[1, 2]删除对动画没影响,后3个关键帧[5, 7]删除对动画也没影响。public class AnimC…

实验1 C语言输入输出和简单程序编写

一,实验目的 1. 会使用C语言程序开发环境(vs2010/devc++等),能熟练、正确使用它们编写、编译、运行、调 试C程序 2. 知道C程序结构和编码规范,能正确使用 3. 能正确、熟练使用C语言输入输出函数: scanf() , printf() , getchar() , putchar() 4. 能灵活、组合使用基本数据…

VScode Cmake-tools 部分问题记录

我的 Visual Studio Code 先前一直安装了 cpp-tools 和 cmake-tools。随后,我升级了我的 GCC 环境版本。然而,重新启动 Visual Studio Code 后,旧的 GCC 版本仍保留在工具包中。起初,我以为是 cpp-tools 插件的问题,一直无法解决这个 bug。后来卸载了相关插件后才发现是 c…

数组0.1

一维数组 数组的运用场合 当我们需要涉及的变量特别多,光想名字都要想半天 所以引入数组 Q: (1)在程序中怎样存放100个学生的成绩? (2)定义100个整型变量吗? (3)C语言中的解决方案是……? A: (1)存储学生成绩用整型数组 mark[100]; (2)存储一行文字用字符数组 …

opencascade AIS_WalkDelta、AIS_ViewInputBuffer源码学习工作

opencascade AIS_WalkDelta 前言 运行方法 1. 空构造函数。 AIS_WalkDelta() : myIsDefined(false), myIsJumping(false), myIsCrouching(false), myIsRunning(false) {} 2. 返回平移组件。 const AIS_WalkPart& operator[] (AIS_WalkTranslation thePart) ; 3. 返回平移组…

2023-9-30

标签之文本标签列表标签之有序列表列表标签之无序列表

[物理]运动学基础理论串讲

运动学基础理论串讲 公式 推论 前言:运动学中,所有的公式都有其对应的几何意义。解决问题时,我们不应死套公式,应当在图像中解决问题。在图像中看清问题的本质。 \(v_t=v_0+at\)。已知初速度和加速度求末速度。 \(x=v_0t+\dfrac{1}{2}at^2\)。算位移的基础公式。 \(v_t^2-…