记一次新型CC通信木马反查杀的姿势研究

最新接到客户反馈内网某终端 PC 呈现大年夜量与国外站点通信的流量被笃信服安然感知系统(SIP)识别,各大年夜杀毒软件均无法查杀干净主要体现为查杀完成之后又从新天生陷入逝世轮回历程,EDR 安然团队联合 SIP 安然职员及时相应定义此事故为新型的 CC 通信事故体现出了较强的反查杀能力。[/b]

主要表现在如下特征:

1. 注入多个进程且互为守护进程,防止被竣事

1. 添加到注册表设置自启动、同时设置准时义务

2. 注入多个系统进程同时为守护进程防止被中断

3. 被注入的进程同时监控注册表启动项、准时义务、病毒母体是否被改动或被删除,被删除后及时创建新的副本

4. 监控进程是否存在 Teamviewer 连接,若呈现 teamviewer 进程将同时注入到 teamviewer 进程

0×1 征象[/b]

系统进程 svchost.exe 与国外恶意站点进行通信连接:

自启动项:

准时义务:

病毒母体如下:

手动删除此文件会在 5 秒钟后重现天生呈现。

被注入的进程:

拉起连接进程的父进程已经退出:

经由过程对被注入的进程进行 PE 的阐发如下,有显着的暗藏模块:

0×2 逆向阐发[/b]

导入资本后解密,并分配好内存并创建进程

反省本机是否为虚拟机:

注入到 explore 进程与 svchost 进程:

添加到注册表的自启动项:

检测 Teamviewer 进程的启动,注入到 teamviewer.exe 与 tv_win32.exe 二个进程

注入函数如下:

0×3 处置建议[/b]

因为系统被注入的进程对照多,每每无法同时删除干净应用 Teamviewer 远程处置惩罚则并没有处置惩罚干净的可能。由于建议客户启动安然模式,在安然模式下操作删除相关文件后,清楚病毒后建议应用笃信服 EDR 对象进行确认。

1. 删除病毒母体路径如下:

C:ProgamData{98F540C4-1ECB-44AE-E638-75D7BBA364BA}354ae05b.exe

2. 删除涉及此母体开机启动项目

3. 删除涉及此母体准时义务

0×4 加固建议[/b]

1. 根据有关数据网络得知,此病毒后门主要经由过程软件绑缚的要领安装到电脑的操作系统,是以建议到软件供应商官网或第三方可托平台下载软件

2. 安然无小事,日常需留意。

3. 保举支配笃信服 EDR 产品对终端进行查杀与防护

赞(0) 打赏
分享到: 更多 (0)
免责申明:本站所有资料均来自于网络,版权归原创者所有!本站不提供任何保证,不保证真实性,并不承担任何法律责任

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

阿里云优惠网 更专业 更优惠

阿里云优惠券阿里云大礼包