玄机——钓鱼事件应急
桌面上有一个rar文件,下载下来发现有一个pdf文件和一个cmd脚本,猜想是在RAR解压过程中触发此漏洞。查询得知编号为CVE-2023-38831
将cmd病毒样本提取出来后,我们将其甩到云沙箱中查杀一下。可以直接在详情页面查看到一个TCP链接。
但此IP并不是我们的木马下载地址。衍生文件中的pcap流量包中也没有有效数据,我们只能上ida分析。使用tab对main函数反汇编即可查看到下载的恶意木马地址http://192.168.229.156:7001/wls-wsat/7z.exeC:\\Users\\Administrator\\AppData\\Local\\Temp\\7z.exe
使用attrib解除文件隐藏属性,将木马甩到云沙箱内分析,并计算其hash值
找到外连地址为192.168.229.136。在靶机上安装everything扫描得到内网横向的fscan放在C:\Windows\Temp\fscan.exe内。
接下来搜索黑客权限维持所设置的SC任务。使用任务管理器查看服务,查看到一个恶意服务指向木马文件。此即为恶意任务。
影子账户很好找,只需要到Users文件夹下就可以看到一个hack$文件夹。翻看系统日志查找黑客第一次登陆上的时间,查看到此日志
最后我们查看端口的转发规则
得到转发规则