0x00 引子
近日,终端安全运营小组接到一起黑域名告警事件,一台办公计算机发起了对某互联网恶意网络地址的访问请求,根据威胁情报,该域名识别为“远控–匿影僵尸网络”,触发安全告警。
安全人员第一时间定位到该办公电脑,联系到电脑使用人。
该同事非常困惑,不知为何自己的电脑会突遭毒手。
0x01 初步处置
不管三七二十一,先将设备断网,防止病毒扩散。
安全人员查看该设备上的防病毒软件状态,病毒码已更新至最新,每周五的全盘扫描也已经正常执行,但查询最近一周的病毒日志,并没有异常告警。应该是新的病毒变种,或者做过免杀,逃过了防病毒软件的检测。
怎么办?
难道又要像之前一样:重装系统吧兄嘚!
0x02 病毒溯源
经过一年的终端安全运营,我们当然不能再这么粗暴了,病毒溯源分析处置流程走起来,看看能不能再挽救一下?
1、日志溯源:安全人员立即展开溯源分析,根据DNS请求域名的线索进行日志分析,发现了发起网络请求的恶意进程。
officekms.exe这个进程发起了对恶意域名的请求。
2、进程溯源:进一步分析该进程的其他行为,发现除了发起DNS请求,还进行了文件创建、读写、进程创建等操作。
在c:\\ProgramData\\xidAHBXFQg目录下创建了cfg、cfgi两个文件并进行了读写。
创建进程,执行了上一步写入的cfgi文件中的命令。
找到该文件,发现里面有经过base64加密的代码。
进行解密,发现了其中的恶意代码和另一个恶意域名“xmr.f2pool.com:13531”
从该文件中可以发现”coin”:”monero” ,这是门罗币挖矿的信息。
根据其中”user”账户信息,在互联网上进行搜索,可溯源到该矿主已经挖到的门罗币:
证实了这是一个挖矿病毒,可以看到刚挖不久,总收益还不是很多,也印证了之前的猜想:这是一个新型病毒,防病毒系统还没有它对应的病毒特征码。
由于虚拟货币匿名化的特征,无法再进一步继续追查。
3、样本分析:获取officekms.exe程序样本,传入沙箱进行分析。
结果显示为高风险,检测到多项恶意行为特征。
没错,发起黑域名的请求,就是它干的!
4、来源调查:经过详细了解,该同事说明了该病毒文件的来源,officeKMS.exe为其在外网下载的激活工具,使用行内U盘拷贝至办公电脑。本次事件深深震撼了这名同事,其对自己的不当行为进行了深刻反思。
0x03 病毒处置
根据沙箱给出的详细报告,找到剩下的恶意代码程序,一并进行删除,杀毒。
终于!终于!终于!不用重装系统了,回想起过去杀不掉的病毒只能在用户的杀人眼神下重装系统,大家流下了激动的眼泪。
0x04样本提交
将样本提交给防病毒厂商,提取病毒特征,制作病毒码。
通过病毒码更新,确保全行的防病毒客户端可直接将该病毒查杀。
0x05 总结
这是一起比较典型的病毒感染事件,反映出几点突出问题。
1、使用盗版软件、激活工具的行为蕴含了巨大的安全风险。
盗版软件、激活工具本身就是经过非法篡改的,黑客经常会在其中埋下后门、木马病毒,以实现其不可告人的目的。
2、使用盗版软件面临巨大法律风险。
《中华人民共和国侵权责任法》第三十四条规定,“用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。”员工使用该盗版软件的目的是为了完成公司的工作任务,由此对他人造成损害的,该侵权责任应当由公司承担。
类似案例屡见不鲜:
为保障终端软件供应链的安全,目前我行在多方面已经开展和计划开展以下工作:
一是优化防病毒策略,针对激活工具类灰色软件,加强查杀力度;
二是搭建全行共享的终端软件中心,加强终端软件供应链的安全准入管理,方便员工获取所需的正版软件;
三是通过软件进程黑白名单的运营和技术控制,对终端软件的安装和运行进行管控;
四是持续开展常态化的安全意识培训,培养良好的安全文化。
“封堵”和“疏通”并举,有效提升办公软件使用安全。
中国光大银行 信息科技部安全管理处
作者:戴晋
视觉:刘丹华
声明:本文来自士冗科技,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。