记录一次紫狐Rootkit应急响应过程

前言:​

​ ​受保密协议影响,此次仅介绍发现过程、思路、以及该Rootkit行为,以便大家后续的参考,此文章篇幅较长,建议大家穿好纸尿裤观看!

​ 紫狐(Purple Fox)Rootkit概述

紫狐(Purple Fox)恶意软件,主要是通过网络钓鱼和漏洞利用工具包进行攻击,其攻击带有蠕虫特性,可在内网通过SMB协议,进行帐号、密码的暴力破解(体现于大量的NTLMSSP爆破),之后将恶意程序植入这些电脑(远程下载恶意文件,已随机命名为结尾的png格式,实际为MSI安装文件);

紧接着,这个恶意的MSI安装文件在安装的过程中,可以看到它会伪装成微软更新套件,并会显示为含有随机字母及简体中文介面的视窗,由于hash不同,很难进行关联排查,有较好的隐蔽性。

 而紫狐部署的最后一步,是载入MSI档里面的rootkit,执行目的是要隐藏多个登录秘钥、数值及文件等(会更改大量的DLL文件,用于后续的权限维持),因此具有良好的隐蔽性和达到长期权限维持的一个效果。

一旦系统载入MSI档中的rootkit,安装程序随即就会命令受害者电脑进行重新开机的程序,目的是将恶意软件提供的DLL改为Windows操作系统的提供的DLL,然后在系统开机的过程中执行这些DLL,恶意软件也将跟着启动,随后开始散播,在此同时,恶意软件也会自动产生IP位址范围,并开始针对这些IP位址的445端口进行扫描,恶意软件会通过SMB暴力破解使用者的身份验证。一旦身份验证成功,将会建立新服务,就如同受害者电脑初期感染的状况(即安装恶意的MSI文件、重启电脑、继续向其他内网机器进行蔓延)。

标题 紫狐Rootkit分析过程​

某天,客户现场反馈,某服务器出现异常用户登录行为,由于该客户现场地处偏远地区不方便现场排查,便先以访谈的形式进行信息收集,主要收集了服务器的系统日志、开放的端口、正在运行的进程、用户组策略表、一些包括启动项、用户在内的注册表信息等等,当然了必不可少的就是网络拓扑图、服务器提供了哪些服务,但是客户不方便给,于是笔者在两眼一抹黑,也不知道这个服务器是干啥的,不知道有哪些安全设备的情况下就干了~

​ ​首先客户反馈了一张截图,该用户名为"qianye",首先需要我们去看的其实就是在找这个用户的创建时间、他在这个时间段做了什么,但是不幸的是,运维人员第一时间就将该用户所有的相关信息全部删除了,包括用户文件夹~我只能说做得漂亮!

下图为客户反馈的截图,时间节点打厚码了,别问我为什么这么糊,因为我怀疑他们是用座机拍的
记录一次紫狐Rootkit应急响应过程_第1张图片

第一步当然是通过这个用户的创建时间往前推,笔者往前推了一天,但是发现实际上所有的动作都发生在50分钟之内;笔者首先是查看用户创建日志,4720事件ID,但是很不幸的是,并没有这个事件日志,后来发现人家在爆破成功后就把事件日志给关了

记录一次紫狐Rootkit应急响应过程_第2张图片

而后笔者查看了登录失败的事件日志,这回终于是发现了问题所在,在短短50分钟内爆破次数高达数万次!
记录一次紫狐Rootkit应急响应过程_第3张图片

笔者水平有限,只能一点点的看,最后分析出,NTLM爆破主要集中在两个时间点,实际上攻击者只用了不到20分钟便爆破成功了,但是爆破并没有停止,所以可以看出该行为并非是人为控制的

记录一次紫狐Rootkit应急响应过程_第4张图片

​​该完整日志信息如下,已脱敏

已成功登录帐户。

使用者:
安全 ID: NULL SID
帐户名: -
帐户域: -
登录 ID: 0x0

登录类型: 3

新登录:
安全 ID: S-1-5-21-xxxxxxxxxxx
帐户名: Administrator
帐户域: xxxxxx
登录 ID: 0xxxxxx
登录 GUID: {00000000-0000-0000-0000-000000000000}

进程信息:
进程 ID: 0x0
进程名: -

网络信息:
工作站名: xxxxxx
源网络地址: xx.xx.xx.xx
源端口: xxxxx

详细身份验证信息:
登录进程: NtLmSsp
身份验证数据包: NTLM
传递的服务: -
数据包名(仅限 NTLM): NTLM V2
密钥长度: 128

从这里,笔者捕获到了第一个登录成功的IP地址,该IP地址为内网地址,为什么说是第一个呢?因为笔者通过日志审计发现对该服务器进行爆破的IP地址并非这一个IP甚至并非这一个网段!此时事件已经变味儿了,该服务器并非是首要目标,他是被横向的!

而后事件日志就出现了登录日志,事件日志也被关闭了,时间节点与客户给的图也比较吻合,笔者猜测就是在这个时间段qianye用户被创建,但是可惜的是用户被删了

事件到此本应结束,此时的结论定向为横向攻击,笔者本以为这仅仅是一次平凡无奇的漏洞攻击引起的横向事件,直至笔者查看服务器的应用程序日志,才发现了端倪

笔者在查看应用程序日志的过程中,重点关注了​MsiInstaller事件,该事件为服务器安装服务事件

记录一次紫狐Rootkit应急响应过程_第5张图片

下图为捕获到的恶意地址、样本信息
记录一次紫狐Rootkit应急响应过程_第6张图片

而后计算机就被重启了

记录一次紫狐Rootkit应急响应过程_第7张图片

笔者发现,安装日志出现了数百条乃至数千条恶意地址,服务器不停地从不同的恶意地址下载恶意文件进行安装,以确保能安装成功,其中恶意地址进行开源情报平台查看,指向​皆为紫狐Rootkit

记录一次紫狐Rootkit应急响应过程_第8张图片

笔者将该样本下载至本地进行分析,但是很遗憾的是该样本进行了加密,笔者水平有限,并没有从ida、windbg、xdbg中看到什么端倪,只能说是安装一遍查看注册表、查看各种启动项,但是都没看出什么,只是能筛选出来一些被篡改的dll文件

记录一次紫狐Rootkit应急响应过程_第9张图片

最后笔者在vt上看到了人家的分析

记录一次紫狐Rootkit应急响应过程_第10张图片

记录一次紫狐Rootkit应急响应过程_第11张图片

可以发现,已经是接近一年前的了,但是我这个发现的时候也蛮早的,嘻嘻嘻​

应急响应总结

记录一次紫狐Rootkit应急响应过程_第12张图片

处置建议

说实话,笔者这么菜的人当然是没办法处置这么高难度的东西的,要知道落下一个dll文件的话,可能重启后就全出来了,更何况很多东西是删不了的,所以笔者建议把关键数据备份后重做系统,抓紧排查其他的机器,最好是找到是从哪个入口进来的,该改密码改密码,该打补丁打补丁,又是一场大仗啊!

安装反Rootkit安全软件,缺点是无法匹配最新的rootkit

对下载的文件进行完整性监测,该方法计算关键的、不变的操作系统文件的哈希,并将其与存储在数据库中的已知值进行比较。

使用安全设备基于网络的检测,理论上,rootkit可能会试图隐藏其网络通信,以逃避操作系统或用户的检测,但是从系统外部还是能看到流量的,这方面成了C2隐藏通信和网络检测的较量。

你可能感兴趣的:(木马病毒分析,网络,服务器,运维)