这里日常分享技术文章、网络知识、运维工具和其它实用工具噢!

记录一次内网安全威胁事件溯源过程

网络运维 灰机 2年前 (2022-09-03) 2244次浏览 已收录 0个评论 扫描二维码

嗨~终于腾出时间更新点东西了。直奔主题吧,事情是这样的,上个月中旬的时候收到态势感知平台的告警,检测到有终端中木马。我随后远程终端进行杀毒和事件溯源,最终找到的罪都祸首。下面分享一下我追溯的思路吧。

一、了解威胁域名信息

告警事件上的域名因为我不知道是什么网站,通过去爱站网查询它的域名信息,见到域名备了案的,点开备案信息发现是多特软件站,这么一来我猜测用户终端上可能安装了某个软件,是来自多特软件站的,接下来往下查。

二、任务管理器查找可疑进程

【进程】里查看应用和后台进程,并无发现可疑的。

在cmd里nslookup一下目标域名得到ip地址,再打开【性能】-【打开资源监视器】,查看是否有进程或应用是跟这个ip通讯的。然鹅还是没有料到。

三、排查软件使用记录

控制面板 程序清单里查看用户是否安装了不知名的软件或流氓厂商的软件(比如2345)

再查看最近使用的文件记录

每个浏览器都查看浏览记录和下载历史(每款浏览器都有默认下载的位置,比如 Chrome默认下载位置是【C:\Users\administrator.xxx\Downloads】、国产浏览器在非系统盘都会有个”xxx浏览器下载”文件夹)。

但是浏览记录也没有有用的信息。于是乎翻找浏览器下载文件的位置,果然有新发现,有个下载器,而且看了文件创建时间跟告警事件是比较吻合。

总结

最后我的推断是用户在浏览器直接搜索钉钉,就进到了多特软件站,然后就是按照小白用户的常规操作:点击“高速下载”…下载到的肯定是这个软件站的下载器,当双击这个下载器时,就会从软件站那边下载软件,此时获取到的才是真的软件,便触发了态势感知平台的威胁感知了。但是也不能大意,该杀毒还是要杀毒的。众所周知软件站多多少少会藏些后门到软件上的,这个已经被曝光过的了,包括华军、东坡、下载之家、非凡、西西、天极等等。 原本用户是不能上网的,至于为什么..那是漏网之鱼了..我这边也最近都在上网行为管理上整理这个策略,之前的做得太乱了。还好这次只是小问题,没有被追责,运气不好还真会摊上事,经过这次事件必须得好好整改!

 

 

 

 

 


原创文章- 《记录一次内网安全威胁事件溯源过程》,如若转载请注明出处:https://www.huiji888.cn/index.php/archives/466
喜欢 (25)
灰机
关于作者:
发表我的评论
取消评论
表情 贴图 加粗

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址