记一次财务部门中招游蛇木马的应急处置

最新推荐文章于 2025-05-27 10:14:09 发布
原创 最新推荐文章于 2025-05-27 10:14:09 发布 · 917 阅读 · 27 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络攻击模型

概述

XX单位于2024年10月31日发现终端微信自动发送二维码加群广告信息,疑似感染病毒木马,故有这一次的应急响应工作,由于当时着急没有截图群发信息。

成果

经询问终端责任人并排查终端浏览器,发现其在 10 月 29 日 10:43 下载了非官方剪映软件,并执行安装包 2024o443653861_.SOTKz.11.exe。随后,终端微信自动发送二维码加群广告。对受害终端取证后,发现恶意文件 EDAkuXUy.exe、n8b075.exe 等,恶意进程 Yklapegz.exe、Zpjpuigv.exe 等,以及恶意计划任务 Microsoft Edge Update Task Machine UA 等。

分析表明,这些恶意项都与游蛇木马有关。游蛇木马下载器 “2024o443653861_.SOTKz.11.exe” 运行后,远程下载并运行多个恶意文件。其中,n8b075.exe 等恶意文件分别创建恶意计划任务,这些任务在用户登录时运行恶意文件,长期远程控制和窃取受害终端信息。恶意文件 Yklapegz.exe 等主要功能是绕过 DEP 等操作;EDAkuXUy.exe 与 n8b075.exe 是同一文件,作为游蛇木马加载器,将远控木马加载到内存运行,远控木马存在键盘记录、屏幕监控等恶意行为。

应急过程

排查该终端浏览器下载记录,发现于2024年10月29日10点43分下载并运行可疑文件2024o443653861_.SOTKz.11.exe,下载链接为https://i-220.wwentua.com:446/10291000206027142bb/2024/10/29/15411ede53ffec6d9ec5ca06357b161a.exe?st=Rb9ZuHcLzzEXAcAH8zL0XA&e=1730171066&b=VTUOPgMxVGVZYwRmCm4DNAZlWzIFNwQ6VDEBPQBYBChRUFoVUwcFSwQrVy8DYlJnBH8BOAR9C2g_c&fi=206027142&pid=221-212-125-100&up=2&mp=0&co=0,经问询,该文件为非官方下载的剪映软件安装包,如下图所示

提取可疑文件2024o443653861_.SOTKz.11.exe进行动态沙箱检测,经检测,发现该文件主要功能为下载其他恶意软件,窃取信息等,确认该文件为下载器木马,如下图所示

由于该终端已断网,使用命令netstat对终端的网络连接情况进行排查未发现可疑网络连接,如下图

使用 “游蛇”专项排查工具进行全盘扫描,发现恶意文件C:\Program Files(x86)\n8b075\ n8b075.exe,确认为SwimSnake游蛇木马

使用系统安全内核分析工具排查进程,发现恶意进程n8b075.exe,恶意文件对应位置为C:\Program Files(x86)\n8b075\n8b075.exe,所在目录下存在多个游蛇木马衍生文件,如下图

继续使用系统安全内核分析工具排查进程,发现可疑进程Zpjpuigv.exe、HTSnBp.exe,可疑文件对应位置为C:\ProgramData\ Zpjpuigv.exe、C:\User\Administrator\Documents\ HTSnBp.exe,所在目录下存在多个可疑文件,如下图

对可疑进程Zpjpuigv.exe、HTSnBp.exe、Yklapegz.exe的文件及同目录其他文件进行分析,经分析,发现文件均为游蛇木马及其衍生文件,发现文件Zpjpuigv.exe、HTSnBp.exe、Yklapegz.exe均为游蛇木马,经分析,其为游蛇木马加载器,加载远控木马到内存中运行,远控木马存在键盘记录、屏幕监控等恶意行为

对终端的计划任务进行排查,发现恶意计划任务:Microsoft Edge Update Task Machine UA、al8fD以及可疑计划任务Microsoft Edge Update Task Machine Core,上述计划任务在任意用户登录时运行恶意文件n8b075.exeHTSnBp.exe以及可疑EDAkuXUy.exe,对受害终端开展长期的远程控制和窃密活动

定位上述可疑计划任务Microsoft Edge Update Task Machine Core中执行文件C:\Program Files(x86)\jfejmW6\ EDAkuXUy.exe及多个可疑文件

处置措施 

  1. 停止并删除恶意计划任务Microsoft Edge Update Task Machine UA、Microsoft Edge Update Task Machine Core、al8fD;
  2. 终止恶意进程Yklapegz.exe、Zpjpuigv.exe、8b075.exe、HTSnBp.exe;
  3. 删除恶意目录C:\Program Files(x86)\jfejmW6、C:\Program Files(x86)\n8b075、C:\ProgramData\TJVfidBo、C:\ProgramData、C:\User\Administrator\Documents下全部恶意文件。
beichenyyds
关注
华涛生活协议
m0_74101393的博客
03-24 5009
此项目是通过每日观看广告从中获得银豆,银豆可以兑换成金豆然后再出售获得米,我相信大家对于看广告真的很烦躁,还时不时的会跳转到下载页面或直接自动下载到手机上,因此这期给大家带来了协议,它可以自动的帮你完成每日任务,同时支持批量账号操作,具体怎么使用,往下滑有教程协议下载地址https://i-112.wwentua.com:446/03241200170411831bb/2024/03/24/d1f56d20efe526793634830931de583b.apk?st=72uL7IaxcPqdiqB4X_S
锒狼专杀与游蛇专杀(c++与c#)
m0_69093237的博客
01-08 475
std::cout << "The suspected file contains the锒狼变种 virus signature." << std::endl;private static readonly byte[] virusSignature = new byte[] { /* 病毒的实际二进制签名 */ };// 未找到病毒签名。// 未发现病毒签名。// 假设这是游蛇变种的病毒二进制签名。// 假设这是锒狼变种的病毒签名。
游蛇”黑产团伙专题分析报告
hackzkaq的博客
10-23 244
安天CERT持续对“游蛇”黑产团伙进行监测和追踪,发现了以“游蛇”黑产团伙为主的黑产团伙运营模式,根据对样本的分析归纳出黑产团伙的攻击手段及技术特点,揭示黑产团伙常用的诈骗套路,总结有效的防护建议,以帮助用户了解、识别黑产团伙的惯用伎俩,免遭其远控木马的侵害,避免遭受黑产团伙诈骗而导致经济损失。由于Gh0st远控木马的源代码已开源多年,该远控木马及基于其产生的大量衍生变种在黑产领域内广泛流传,因此黑产团伙可以快速构建控制端程序及其对应的受控端木马,并对受控端木马进行免杀处理。
紧急!“银狐”病毒端午前大爆发,小心伪装成假期通知的“隐形杀手”
CACTER_S的博客
05-27 389
‼️端午佳节临近!千万警惕 “假期通知” 钓鱼陷阱,数千员工曾因此中招! 速速点击下方查看防护小 tips
游蛇吃豆戏嵌入式代码
05-08
游蛇吃豆戏,也被称为贪吃戏,是一种经典的电子戏,深受玩家喜爱。在嵌入式系统中实现这个戏,可以为学习嵌入式编程和理解ARM架构提供实际操作的平台。ARM(Advanced RISC Machines)是处理器设计的一种...
嵌入式系统下的游蛇吃豆戏实现
随后,将通过分析“游蛇吃豆 final”这一文件名,引申出其代表的代码结构和相关知识点。 首先,嵌入式系统是一种专用计算机系统,它作为设备或产品的一部分,通常用来控制机器或系统。嵌入式系统广泛应用于工业控制...
游蛇吃豆戏在ARM嵌入式系统上的实现
"游蛇吃豆"不仅是一个有趣的名称,更是一个将戏元素融入嵌入式编程实践的教学案例。 ### ARM处理器基础 ARM(Advanced RISC Machines)是一种基于精简指令集计算(RISC)的处理器架构,它广泛用于嵌入式系统设计...
基于LPC2132单片机的游蛇吃豆戏设计
标题中的“游蛇吃豆”表明该C源代码是实现了一款经典的“贪吃戏,而LPC2132单片机和12864是这个项目中使用到的主要硬件组件。LPC2132是NXP公司生产的一款基于ARM7TDMI-S核心的32位微控制器,广泛应用于嵌入式...
ARM3000下的嵌入式游蛇吃豆戏设计
这个嵌入式游蛇吃豆戏的课程设计不仅是一个实际的戏开发项目,也是对学生综合技能的一次全面训练,涵盖了从项目规划、编程实现到文档编写和口头表达的多个层面。通过这样的实践,学生可以深入理解嵌入式系统开发...
2023护网蓝初面试题汇总
m0_74131821的博客
05-18 2267
日薪1000+的护网行动开始招人了,有想法的速看!
(62页PPT)微专题14 测电阻的几种特殊方法.pptx
01-06
(62页PPT)微专题14 测电阻的几种特殊方法.pptx
GeneratedClass1146.java
01-06
GeneratedClass1146.java
数字乡村解决方案(第一部分).pdf
01-06
源码地址: https://pan.quark.cn/s/27933535a1f6 数字乡村解决方案(第一部分共130页)的电子文档格式
完美复现面向配电网韧性提升的移动储能预布局与动态调度策略【IEEE33节点】(Matlab代码实现)
01-06
【完美复现】面向配电网韧性提升的移动储能预布局与动态调度策略【IEEE33节点】(Matlab代码实现)内容概要:本文介绍了基于IEEE33节点的配电网韧性提升方法,重点研究了移动储能系统的预布局与动态调度策略。通过Matlab代码实现,提出了一种结合预配置和动态调度的两阶段优化模型,旨在应对电网故障或极端事件时快速恢复供电能力。文中采用了多种智能优化算法(如PSO、MPSO、TACPSO、SOA、GA等)进行对比分析,验证所提策略的有效性和优越性。研究不仅关注移动储能单元的初始部署位置,还深入探讨其在故障发生后的动态路径规划与电力支援过程,从而全面提升配电网的韧性水平。; 适合人群:具备电力系统基础知识和Matlab编程能力的研究生、科研人员及从事智能电网、能源系统优化等相关领域的工程技术人员。; 使用场景及目标:①用于科研复现,特别是IEEE顶刊或SCI一区论文中关于配电网韧性、应急电源调度的研究;②支撑电力系统在灾害或故障条件下的恢复力优化设计,提升实际电网应对突发事件的能力;③为移动储能系统在智能配电网中的应用提供理论依据和技术支持。; 阅读建议:建议读者结合提供的Matlab代码逐模块分析,重点关注目标函数建模、约束条件设置以及智能算法的实现细节。同时推荐参考文中提及的MPS预配置与动态调度上下两部分,系统掌握完整的技术路线,并可通过替换不同算法或测试系统进一步拓展研究。
SQL基础培训资料:-临时表和表变量选择.docx
01-06
SQL基础培训资料:-临时表和表变量选择.docx
C# DateTimePicker开发
01-06
先看效果: https://pan.quark.cn/s/3756295eddc9 在C#软件开发过程中,DateTimePicker组件被视为一种常见且关键的构成部分,它为用户提供了图形化的途径来选取日期与时间。 此类控件多应用于需要用户输入日期或时间数据的场景,例如日程管理、订单管理或时间录等情境。 针对这一主题,我们将细致研究DateTimePicker的操作方法、具备的功能以及相关的C#编程理念。 DateTimePicker控件是由.NET Framework所支持的一种界面组件,适用于在Windows Forms应用程序中部署。 在构建阶段,程序员能够通过调整属性来设定其视觉形态及运作模式,诸如设定日期的显示格式、是否展现时间选项、预设的初始值等。 在执行阶段,用户能够通过点击日历图标的下拉列表来选定日期,或是在文本区域直接键入日期信息,随后按下Tab键或回车键以确认所选定的内容。 在C#语言中,DateTime结构是处理日期与时间数据的核心,而DateTimePicker控件的值则表现为DateTime类型的实例。 用户能够借助`Value`属性来读取或设定用户所选择的日期与时间。 例如,以下代码片段展示了如何为DateTimePicker设定初始的日期值:```csharpDateTimePicker dateTimePicker = new DateTimePicker();dateTimePicker.Value = DateTime.Now;```再者,DateTimePicker控件还内置了事件响应机制,比如`ValueChanged`事件,当用户修改日期或时间时会自动激活。 开发者可以注册该事件以执行特定的功能,例如进行输入验证或更新关联的数据:``...
1_自行车测速51单片机.zip
01-06
1_自行车测速51单片机.zip
Jam-Pie硬件原理图+PCB文件(含原理图PDF和BOOM表)
最新发布
01-06
Jam-Pie硬件原理图+PCB文件(含原理图PDF和BOOM表): 本项目使用分立的控制板与驱动板,方便更换其中一个,而不修改另一个(如可以将驱动芯片修改为DRV8301或者其他,而控制板不做修改,只根据对应的接口分配引脚即可)。 该项目中控制板使用STM32F405RGT6,驱动板使用两个DRV8313驱动电机,可以实现开环控制、速度环+电流环双闭环、位置环+速度环+电流环三闭环(注:该文件不含源代码)。 此外,该资源中附赠原理图PDF和BOOM表,可以用PCB直接打板,根据BOOM表购买元器件(注:驱动板后期在PCB上直接添加了AMS1117-5VLDO芯片,原理图中没有,使用时请注意
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值