记一次财务部门中招游蛇木马的应急处置

最新推荐文章于 2025-05-27 10:14:09 发布
原创 最新推荐文章于 2025-05-27 10:14:09 发布 · 916 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络攻击模型

概述

XX单位于2024年10月31日发现终端微信自动发送二维码加群广告信息,疑似感染病毒木马,故有这一次的应急响应工作,由于当时着急没有截图群发信息。

成果

经询问终端责任人并排查终端浏览器,发现其在 10 月 29 日 10:43 下载了非官方剪映软件,并执行安装包 2024o443653861_.SOTKz.11.exe。随后,终端微信自动发送二维码加群广告。对受害终端取证后,发现恶意文件 EDAkuXUy.exe、n8b075.exe 等,恶意进程 Yklapegz.exe、Zpjpuigv.exe 等,以及恶意计划任务 Microsoft Edge Update Task Machine UA 等。

分析表明,这些恶意项都与游蛇木马有关。游蛇木马下载器 “2024o443653861_.SOTKz.11.exe” 运行后,远程下载并运行多个恶意文件。其中,n8b075.exe 等恶意文件分别创建恶意计划任务,这些任务在用户登录时运行恶意文件,长期远程控制和窃取受害终端信息。恶意文件 Yklapegz.exe 等主要功能是绕过 DEP 等操作;EDAkuXUy.exe 与 n8b075.exe 是同一文件,作为游蛇木马加载器,将远控木马加载到内存运行,远控木马存在键盘记录、屏幕监控等恶意行为。

应急过程

排查该终端浏览器下载记录,发现于2024年10月29日10点43分下载并运行可疑文件2024o443653861_.SOTKz.11.exe,下载链接为https://i-220.wwentua.com:446/10291000206027142bb/2024/10/29/15411ede53ffec6d9ec5ca06357b161a.exe?st=Rb9ZuHcLzzEXAcAH8zL0XA&e=1730171066&b=VTUOPgMxVGVZYwRmCm4DNAZlWzIFNwQ6VDEBPQBYBChRUFoVUwcFSwQrVy8DYlJnBH8BOAR9C2g_c&fi=206027142&pid=221-212-125-100&up=2&mp=0&co=0,经问询,该文件为非官方下载的剪映软件安装包,如下图所示

提取可疑文件2024o443653861_.SOTKz.11.exe进行动态沙箱检测,经检测,发现该文件主要功能为下载其他恶意软件,窃取信息等,确认该文件为下载器木马,如下图所示

由于该终端已断网,使用命令netstat对终端的网络连接情况进行排查未发现可疑网络连接,如下图

使用 “游蛇”专项排查工具进行全盘扫描,发现恶意文件C:\Program Files(x86)\n8b075\ n8b075.exe,确认为SwimSnake游蛇木马

使用系统安全内核分析工具排查进程,发现恶意进程n8b075.exe,恶意文件对应位置为C:\Program Files(x86)\n8b075\n8b075.exe,所在目录下存在多个游蛇木马衍生文件,如下图

继续使用系统安全内核分析工具排查进程,发现可疑进程Zpjpuigv.exe、HTSnBp.exe,可疑文件对应位置为C:\ProgramData\ Zpjpuigv.exe、C:\User\Administrator\Documents\ HTSnBp.exe,所在目录下存在多个可疑文件,如下图

对可疑进程Zpjpuigv.exe、HTSnBp.exe、Yklapegz.exe的文件及同目录其他文件进行分析,经分析,发现文件均为游蛇木马及其衍生文件,发现文件Zpjpuigv.exe、HTSnBp.exe、Yklapegz.exe均为游蛇木马,经分析,其为游蛇木马加载器,加载远控木马到内存中运行,远控木马存在键盘记录、屏幕监控等恶意行为

对终端的计划任务进行排查,发现恶意计划任务:Microsoft Edge Update Task Machine UA、al8fD以及可疑计划任务Microsoft Edge Update Task Machine Core,上述计划任务在任意用户登录时运行恶意文件n8b075.exeHTSnBp.exe以及可疑EDAkuXUy.exe,对受害终端开展长期的远程控制和窃密活动

定位上述可疑计划任务Microsoft Edge Update Task Machine Core中执行文件C:\Program Files(x86)\jfejmW6\ EDAkuXUy.exe及多个可疑文件

处置措施 

  1. 停止并删除恶意计划任务Microsoft Edge Update Task Machine UA、Microsoft Edge Update Task Machine Core、al8fD;
  2. 终止恶意进程Yklapegz.exe、Zpjpuigv.exe、8b075.exe、HTSnBp.exe;
  3. 删除恶意目录C:\Program Files(x86)\jfejmW6、C:\Program Files(x86)\n8b075、C:\ProgramData\TJVfidBo、C:\ProgramData、C:\User\Administrator\Documents下全部恶意文件。
beichenyyds
关注
锒狼专杀与游蛇专杀(c++与c#)
m0_69093237的博客
01-08 475
std::cout << "The suspected file contains the锒狼变种 virus signature." << std::endl;private static readonly byte[] virusSignature = new byte[] { /* 病毒的实际二进制签名 */ };// 未找到病毒签名。// 未发现病毒签名。// 假设这是游蛇变种的病毒二进制签名。// 假设这是锒狼变种的病毒签名。
游蛇”黑产团伙专题分析报告
hackzkaq的博客
10-23 243
安天CERT持续对“游蛇”黑产团伙进行监测和追踪,发现了以“游蛇”黑产团伙为主的黑产团伙运营模式,根据对样本的分析归纳出黑产团伙的攻击手段及技术特点,揭示黑产团伙常用的诈骗套路,总结有效的防护建议,以帮助用户了解、识别黑产团伙的惯用伎俩,免遭其远控木马的侵害,避免遭受黑产团伙诈骗而导致经济损失。由于Gh0st远控木马的源代码已开源多年,该远控木马及基于其产生的大量衍生变种在黑产领域内广泛流传,因此黑产团伙可以快速构建控制端程序及其对应的受控端木马,并对受控端木马进行免杀处理。
紧急!“银狐”病毒端午前大爆发,小心伪装成假期通知的“隐形杀手”
CACTER_S的博客
05-27 388
‼️端午佳节临近!千万警惕 “假期通知” 钓鱼陷阱,数千员工曾因此中招! 速速点击下方查看防护小 tips
游蛇吃豆游戏嵌入式代码
05-08
游蛇吃豆游戏,也被称为贪吃蛇游戏,是一种经典的电子游戏,深受玩家喜爱。在嵌入式系统中实现这个游戏,可以为学习嵌入式编程和理解ARM架构提供实际操作的平台。ARM(Advanced RISC Machines)是处理器设计的一种...
嵌入式系统下的游蛇吃豆游戏实现
随后,将通过分析“游蛇吃豆 final”这一文件名,引申出其代表的代码结构和相关知识点。 首先,嵌入式系统是一种专用计算机系统,它作为设备或产品的一部分,通常用来控制机器或系统。嵌入式系统广泛应用于工业控制...
游蛇吃豆游戏在ARM嵌入式系统上的实现
"游蛇吃豆"不仅是一个有趣的名称,更是一个将游戏元素融入嵌入式编程实践的教学案例。 ### ARM处理器基础 ARM(Advanced RISC Machines)是一种基于精简指令集计算(RISC)的处理器架构,它广泛用于嵌入式系统设计...
基于LPC2132单片机的游蛇吃豆游戏设计
标题中的“游蛇吃豆”表明该C源代码是实现了一款经典的“贪吃蛇”游戏,而LPC2132单片机和12864是这个项目中使用到的主要硬件组件。LPC2132是NXP公司生产的一款基于ARM7TDMI-S核心的32位微控制器,广泛应用于嵌入式...
ARM3000下的嵌入式游蛇吃豆游戏设计
这个嵌入式游蛇吃豆游戏的课程设计不仅是一个实际的游戏开发项目,也是对学生综合技能的一次全面训练,涵盖了从项目规划、编程实现到文档编写和口头表达的多个层面。通过这样的实践,学生可以深入理解嵌入式系统开发...
2023护网蓝初面试题汇总
m0_74131821的博客
05-18 2266
日薪1000+的护网行动开始招人了,有想法的速看!
Android ListView代码
最新发布
01-05
源码地址: https://pan.quark.cn/s/5c2ff67041b8 DEPRECATED ========== ListViewAnimations is deprecated in favor of new RecyclerView solutions. No new development will be taking place, but the existing versions will still function normally. Thanks for your support! ListViewAnimations =========== ListViewAnimations is an Open Source Android library that allows developers to easily create ListViews with animations. Feel free to use it all you want in your Android apps provided that you cite this project and include the license in your app. Features ---- ListViewAnimations provides the following features: Appearance animations for items in , , other ; * Built in animations include , , , , and . * Other animations can easily be added * StickyL...
基于SpringBoot与AWVS深度集成的企业级Web应用漏洞自动化扫描与智能管理平台_项目极简说明本项目是一个功能全面高度自动化的Web应用漏洞扫描与管理系统它深度整合了.zip
01-05
基于SpringBoot与AWVS深度集成的企业级Web应用漏洞自动化扫描与智能管理平台_项目极简说明本项目是一个功能全面高度自动化的Web应用漏洞扫描与管理系统它深度整合了.zip
利用呼吸质量指数和神经网络从光电容积图和心电图信号确定呼吸速率.zip
01-05
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
JSP程序设计入门教程-下载即用.zip
01-05
下载方式:https://pan.quark.cn/s/c9b9b647468b ### 初级JSP程序设计教程核心内容解析#### 一、JSP基础概述JSP(JavaServer Pages)是由Sun Microsystems公司创建的一种动态网页技术规范,主要应用于构建动态网站及Web应用。JSP技术使得开发者能够将动态数据与静态HTML文档整合,从而实现网页内容的灵活性和可变性。##### JSP的显著特性:1. **动态与静态内容的分离**:JSP技术支持将动态数据(例如数据库查询结果、实时时间等)嵌入到静态HTML文档中。这种设计方法增强了网页的适应性和可维护性。2. **易用性**:开发者可以利用常规的HTML编辑工具来编写静态部分,并通过简化的标签技术将动态内容集成到页面中。3. **跨平台兼容性**:基于Java平台的JSP具有优良的跨操作系统运行能力,能够在多种不同的系统环境中稳定工作。4. **强大的后台支持**:JSP能够通过JavaBean组件访问后端数据库及其他资源,以实现复杂的数据处理逻辑。5. **执行效率高**:JSP页面在初次被请求时会被转换为Servlet,随后的请求可以直接执行编译后的Servlet代码,从而提升了服务响应的效率。#### 二、JSP指令的运用JSP指令用于设定整个JSP页面的行为规范。这些指令通常放置在页面的顶部,向JSP容器提供处理页面的相关指导信息。##### 主要的指令类型:1. **Page指令**: - **语法结构**:`<%@ page attribute="value" %>` - **功能**:定义整个JSP页面的运行特性,如设定页面编码格式、错误处理机制等。 - **实例**: ...
基于AIFI特征交互与RT-DETR的实时目标检测技术:精度与速度协同优化的科研实践
01-05
内容概要:本文系统讲解了目标检测领域中RT-DETR与YOLOv8+AIFI的技术原理与实战复现方法,重点剖析了AIFI(尺度内特征交互)在提升模型精度中的关键作用。文章对比了YOLO系列与RT-DETR在架构设计上的差异,详细介绍了RT-DETR如何通过混合编码器、Query Selection等机制实现高精度实时检测,并指导读者在YOLOv8中集成AIFI模块以增强特征表达能力。同时提供了完整的代码实现路径、训练推理流程及性能评估方式,涵盖科研创新与工业落地的双重视角。; 使用场景及目标:①掌握RT-DETR脱离NMS实现实时高性能检测的技术路径;②理解AIFI在YOLOv8中提升小目标和密集目标检测能力的机制;③完成从环境搭建、模型训练到性能对比的全流程实验,支撑科研论文复现或工业项目优化; 阅读建议:建议结合提供的代码链接和配置文件边学边练,重点关注AIFI模块的实现逻辑与模型性能变化,同时尝试在此基础上进行结构改进或与其他注意力机制融合,深化对特征交互机制的理解与应用能力。
STM32DMA基于阿波罗-F767-UART-DMA-HAL库
01-05
STM32DMA基于阿波罗_F767_UART_DMA_HAL库,基于战舰V3_F103_UART_DMA_HAL库,基于战舰V3_F103_标准库_UART1_DMA接收
jdk-17.0.17-苹果系统ARM64位
01-05
jdk-17.0.17-苹果系统ARM64位
Nacos_scan是一款基于Python开发的Nacos服务漏洞扫描工具_专注于检测Nacos服务中的安全漏洞和配置问题_包括Nacos默认密码漏洞_Nacos默认密钥泄露_Na.zip
01-05
Nacos_scan是一款基于Python开发的Nacos服务漏洞扫描工具_专注于检测Nacos服务中的安全漏洞和配置问题_包括Nacos默认密码漏洞_Nacos默认密钥泄露_Na.zip
基于MSDA注意力机制的YOLOv8多尺度优化:面向复杂场景的目标检测精度提升方法研究
01-05
内容概要:本文详细介绍如何将多尺度空间注意力(MSDA)机制融入YOLOv8目标检测框架,以提升模型在多尺度目标检测中的表现。文章首先解析MSDA与DilateFormer的原理,强调其通过不同扩张率的注意力头并行捕捉局部与全局特征的能力,有效解决传统注意力机制在大、小目标检测上的失衡问题。随后,通过具体代码示例指导读者在Ultralytics框架下实现MSDA模块、修改配置文件并进行训练验证,展示其在提升小目标识别精度、大目标边界清晰度及复杂场景鲁棒性方面的优势。最后,文章探讨了基于该技术的科研创新路径与工业落地场景,并提供避坑建议。; 使用场景及目标:①提升YOLOv8在多尺度混合场景下的检测性能;②开展基于注意力机制改进的科研工作;③应用于智能交通、工业质检、农业监测等存在显著多尺度目标的实际项目中; 阅读建议:建议结合提供的代码链接动手实践,在复现基础上尝试调整扩张率组合、注意力头数量等超参数,重点关注大、中、小目标的AP变化,深入理解MSDA的作用机理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值