记一次银狐病毒应急响应工作

最新推荐文章于 2025-07-29 23:17:06 发布
原创 最新推荐文章于 2025-07-29 23:17:06 发布 · 361 阅读 · 4 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#应急响应 #web安全 #安全 #网络

事件概述:

收到客户反馈,一名公职人员在办公OA系统中建立群聊并中发送"国家xx补贴“并携带诈骗二维码。收到客户需求前往去溯源。

处置流程:

1.现场访谈

1.1 了解中毒对象表现

本次通过银狐病毒远控控制电脑并建立群聊发送诈骗二维码,是已经确认存在被病毒入侵。并通过对当事人的调查发现,她是通过点击了"某某放假通知"进而被银狐远控。

1.2 了解中毒对象范围

本次确认被远控主机就只有当事人主机一台。

2.应急过程

    通过对目的主机排查,客户通过解压了"xx放假通知压缩包"运行了其中ZHANGHAOI50.exe

    银狐是通过白加黑的形式,在运行后在C:\Program Files\Common Files\System释放的的银狐木马,smigpu.exe libsmi.dll libsmi.bin。并且删除原病毒文件。

    样本黑DLL的MD5:572893F7CB22C5065050CC1A65CF0775和前面的银狐病毒的dll是一致的。

    并且创建了一个开机自启项目。利用NET.应用做掩护。

    3.事件总结

    受害者通过点击了"某某放假通知"文件,电脑中了银狐病毒,银狐病毒为白加黑模式运行,通过无毒“smigpu.exe”程序调用 异常“libsmi.dll”文件尝试对杀毒软件进行绕过,但该遗留程序并未有网络及文件释放行为。在长时间没有电脑操作时通过被远控电脑进行创建OA群聊,发送诈骗二维码。

    银狐叒进化,溯源不了,清理不掉!一线应急响应工程师教你如何手工处理
    qq_44606373的博客
    02-17 1118
    下班时间看到微步发布了一篇公众号文章《银狐叒进化,溯源不了,清理不掉!》看完这个文章后,发现,咦?这个样本,一月初的时候不是处理过一个一样的案例。当时还处理的很头疼,最后根据主机现象,分析出主机落地的文件以及恶意行为,处理掉这个病毒程序。那么阅读微步发布的文章后,也更深刻了解了该病毒整体的运行机制。​​同时月初的时候,也发现在技术交流群中,也有小伙伴中过银狐,也讨论帮他解决过。​当时未保留样本,但是很幸运,在卡饭论坛发现有大佬早在12月的时候就发现该样本,并上传至论坛。
    一次实战银狐排查应急
    weixin_43960066的博客
    03-15 2233
    ​ 在当今的网络环境中,恶意流量的威胁日益严重,企业面临的网络安全风险也不断升级。某日,客户收到一条来自安全监测平台的通报:一台内部主机资产存在可疑的恶意通信行为。通报指出,该主机的通信流量特征属于银狐木马,且通信端口固定。此类行为不仅可能导致数据泄露,还可能影响整个网络安全性和稳定性。 ​ 为确认是否存在误报或潜在的安全威胁,立即赶往现场展开深入排查。本次排查的核心目标是:验证恶意流量的真实性、确定其来源及影响范围,并制定有效的应对措施。通过系统化的分析和验证,我们不仅需要判断通报是否准确,还需要确保
    银狐木马5月新变种:绕过EDR和AV实现隐蔽持久化攻击
    亚信安全官方账号的博客
    06-16 870
    银狐又又又来了
    针对银狐病毒新变种,防范建议
    huoronganquan的博客
    04-30 466
    银狐病毒是一种通过钓鱼邮件、恶意链接或伪装软件传播的恶意程序,近期变种可能具备以下特征:窃取敏感信息:盗取账号密码、支付信息、浏览器录等。勒索攻击:加密文件并索要赎金。远程控制:劫持设备作为僵尸网络节点。伪装传播:冒充节日祝福、快递通知、缴费提醒等诱导点击。
    74 应急响应-win&linux分析后门&勒索病毒&攻击
    山兔的博客
    10-25 615
    不要乱下,长期打补丁,并且更新杀毒软件,在服务器上保持干净,不要乱下一些乱七八遭的软件,中毒还有一种情况是被别人给危害了,可能你的内网主机,之前勒索病毒爆发的时候,出过爆发漏洞,然后进行内网渗透,自带感染,但是我们要想到,他是基于漏洞的,提前做好补丁,安装好防护的话,其实是能够直接解决这个问题的,总的来说就是管理员的疏忽,没有定期的更新补丁,做好漏洞的防范,就不会导致这样的事情。1.常见危害: 暴力破解,漏洞利用,流量攻击,木马控制(webshell,PC木马等),病毒感染(挖矿,蠕虫,勒索等)。
    银狐”木马病毒再度来袭!
    2401_84215240的博客
    07-25 662
    近日,国家计算机病毒应急处理中心和计算机病毒防治技术国家工程实验室,依托国家计算机病毒协同分析平台监测发现由该病毒引发的诈骗活动近期呈高发态势。“银狐”木马病毒极具迷惑性,常伪装成“发票”、“放假通知”等文件、链接,通过社交媒体传播的钓鱼链接大肆扩散。那么什么是“银狐”木马病毒,又该如何防范和应对呢?
    实战!“银狐病毒卷土重来,联软EDR斩断攻击链护卫企业安全防线
    leagsoft_1003的博客
    07-07 1260
    联软EDR精准查杀病毒,快速追查安全事件源头,定位影响范围。
    GTSuite许可与网络安全
    m0_70164415的博客
    07-25 361
    GTSuite作为一款先进的工程仿真软件,不仅提供了高效、稳定的仿真解决方案,还非常重视用户的网络安全和数据安全。通过定期的安全培训、安全公告以及安全提示,GTSuite提醒用户时刻保持警惕,遵循最佳的安全实践,共同维护网络安全。许可优化可以识别用户闲置的许可,进行释放,优化许可资源。那么如何优化管理许可,必然是企业发展的重中之重,格发许可优化管理系统的核心是帮助企业提质增效降本,增强企业在高端制造的竞争力!每年许可的采购量和使用情况无法统计,不清楚许可的使用状态(在用,过期,报废,闲置,未安装……
    网络安全第15集
    m0_74741186的博客
    07-29 343
    可以得到目标服务器开启的应用服务器,的具体相关信息,数据库的相关信息。2、常见的端口,端口开放的一些安全问题。1、根据端口扫描可以得到相关的信息。端口扫描,根据扫描的端口,web服务器,和应用服务器。挖不到一点,又来学习了。
    网络安全
    2301_80296870的博客
    07-28 719
    个人防火墙软件Windows防火墙:Windows系统自带的防火墙,功能强大且免费,适合普通用户日常使用。它能阻止未经授权的访问和潜在网络攻击,可对进出网络的数据流进行基本管控。瑞星个人防火墙:界面配色漂亮、布局合理,便于快速上手。具备IP包过滤、恶意网址拦截、应用程序监控等功能,可有效保护个人电脑免受网络威胁。Comodo免费防火墙:支持虚拟互联网浏览、广告拦截等功能,用户可轻松添加安全策略。还设有安全扫描选项,能扫描运行进程以确定其可靠性,并且附带内置的Comodo Dragon安全浏览器。
    网络安全的变革:深入洞察 Web3 与传统网络模型
    dd8989089的博客
    07-29 473
    Web3,也被称作去中心化网络,是基于区块链技术的新型网络模型。它的核心优势在于去中心化、透明性和安全性。与中心化的网络模型不同,Web3通过分布式账本技术,实现了数据的去中心化存储和处理,从而增强了网络安全性和抗攻击能力。
    网络工程师软考版】网络安全
    BachelorSC ' s Notes
    07-29 861
    的应用1、能够确认发送方2、能够确定消息的。
    渗透测试与漏洞扫描有什么区别?
    2508_91692437的博客
    07-29 323
    摘要: 渗透测试与漏洞扫描在网络安全评估中各有侧重。漏洞扫描通过自动化工具(如Nessus)快速识别已知漏洞(如配置错误),适用于日常运维;渗透测试由专业人员模拟真实攻击,验证漏洞危害及系统防御能力,适合关键系统评估。前者成本低、覆盖广但深度有限,后者成本高、耗时长但能揭示复杂攻击链。两者在目标、方法、深度及适用场景上互补,共同提升安全防护水平。(149字)
    弱口令:网络安全中最脆弱的锁,如何加固?
    Gappsong874的博客
    07-25 1196
    想象一下:你家防盗门装的是玩具塑料锁,小偷用一根牙签就能捅开——这就是弱口令在数字世界的危险写照。2023年Verizon报告显示,,而修复成本高达每次泄露。
    WEB安全--Java安全--fastjson1.2.24(JdbcRowSetImpl利用链)
    m0_74800552的博客
    07-28 538
    我们通过@type指定系统类JdbcRowSetImpl,但是这个类并不存在命令执行的危险方法,所以要借助JNDI服务使JdbcRowSetImpl类中的lookup方法远程加载我们的恶意类来实现攻击。所以主要是利用JNDI注入达到的攻击。
    常见的万能密码
    KP_0x01的博客
    07-19 3355
    ' or 1=1--" or 1=1--' or 1=1#" or 1=1#' or 1=1/*" or 1=1/*--" or 1=1--' or 1=1#" or 1=1#' or 1=1/*" or 1=1/*
    网络安全运维面试准备
    最新发布
    浅夏入秋
    07-29 723
    旨在帮助组织系统化地管理信息安全风险,确保数据机密性、完整性和可用性。1. 信息安全管理体系(ISMS)定义信息安全策略、目标和流程,形成持续改进的管理体系。需高层管理参与,明确责任分配。2. 风险管理和评估识别信息资产、威胁及脆弱性,评估风险等级。通过风险处置(如规避、转移、减轻或接受)降低影响。3. 控制措施(Annex A)A.5 信息安全策略(如制定和维护安全政策)。A.6 组织安全(如角色分工、远程工作安全)。A.7 人力资源安全(聘用前审查、安全意识培训)。
    代码审计与web安全选择题1
    m0_74726609的博客
    07-25 1034
    持续关注网安发展动向;• 软件安全的定义:根据国家标准GB/T 30998—2014《信息技术 软件安全保障规范》,软件安全(Software Safety)是软件工程与软件保障的一个方面,它提供一种系统的方法来标识、分析和追踪对危害以及具有危害性的功能(例如数据和命令)的软件缓解措施与控制。软件的( )通常指的是计算机程序或硬件系统中存在的任何类型的错误、故障或缺陷,这些错误可能会导致意外的结果或异常的系统行为,更多的是影响软件的功能性,比如包括编程错误、硬件故障、逻辑错误等。
    评论
    添加红包

    请填写红包祝福语或标题

    红包个数最小为10个

    红包金额最低5元

    当前余额3.43前往充值 >
    需支付:10.00
    成就一亿技术人!
    领取后你会自动成为博主和红包主的粉丝 规则
    hope_wisdom
    发出的红包
    实付
    使用余额支付
    点击重新获取
    扫码支付
    钱包余额 0

    抵扣说明:

    1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
    2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

    余额充值