搜索
    Hi~登录注册
    查看: 170|回复: 1
    收起左侧

    记一次xx大学的蠕虫病毒事件

    [复制链接]

    2

    主题

    0

    精华

    47 小时

    在线时间

    新手上路

    Rank: 1

    积分
    15
    发表于 2020-5-8 09:47:16 | 显示全部楼层 |阅读模式

    ] 本帖最后由 相见·思念 于 2020-5-8 09:46 AM 编辑 [/i]

    [md]一日,在办公室里不急不慢的喝着茶,看着安全群里的各位师傅们在群里谈天说地,心中我的愧疚油然而生,为什么大佬这么强,我却这么菜。

    旁边领导突然喊我:“你有事嘛,没事跟我来一下”身旁的领导由沉默变成了急躁,并急匆匆的让我带上自己吃饭的东西跟着他去,行!我拿起了碗筷就跟着领导冲了出去。到了门口,看到领导异样的眼光我才知道原来是让我带上电脑。
          我本以为是简单的网络不通或者电脑缺失文件蓝屏导致的一些小问题,实际到了现场才发现并没有那么简单,整个办公室的电脑已经全部瘫痪了。行 8,就知道问题不可能那么简单,当我放下笔记本准备插上网线的时候我突然意识到了我的不对,怎么会那么简单一个办公室的电脑突然嗝屁?这肯定在网络里流动着一些不知道什么东西的东西。啧,先看一下现场情况吧。
          瘫痪的是该学校的财务系统,也就是学校的一卡通系统,办公室也就是整个学校的财务处,那我要是稍有不慎删掉了什么东西,学校里几千几万的学生吃饭可怎么办,到时候他们流落街头,无饭可吃可就是我的责任了,想到这里,我就放下了手中的锤子,改为智取。办公室里的电脑还都是 win XP 的系统,及其脆弱,一碰就碎,但升级也是不可能的,因为某些软件的底层原因就决定了不能进行系统升级,办公室中最好的一台电脑还是安装的 win7 SP1 这也是能连接外网的唯一一台电脑,行 8,至少 2019 年 win7 还没停止支持,相比较而言还是及其安全的,当时没有接入网络环境,所以该电脑没有出现问题,但是其他电脑怎么办呢……
            二话不说,先掏出自己的大宝贝,先用火绒搞一台边缘机器看看到底是什么东西,诶?我丢,原来老师已经先行一步用火绒干了一圈了,那我们来看看结果吧 Voluminer???隐匿者!这病毒,我见过啊。直接开搞!
    这病毒是一个 MBR 的蠕虫病毒,运行之后会注入 winlogon 或 explorer 进程,然后从远程服务器进行交互,下载到本地进行执行,植入挖矿模块挖取门罗币,当然还可以进行其他的模块注入,不过看起来,这个作者只想搞钱。
    先那手看一眼

    1.png

    一个 exe 文件竟然伪装成了一个音乐文件,难怪会去瞎点击 o:p
    进行沙盒运行,发现了一些奇奇怪怪的东西

    11.png

    啥意思?FTP?这是直接从云端下载木马的节奏吗?我今天当场就要打开这个 FTP 服务器的链接!

    3.png

    光想着分析这个了这东西还内网扩散,这我怎么办,还是在上班时间,又不能妨碍数据正常的运行,那只能先放置,把并不是很核心的业务停下来,然后电脑禁止关机,等我周六再来搞吧。

    研究了一下这个病毒的病毒样本,该病毒运行之后会直接写入 MBR,并将原始的 MBR 备份在第二扇区,病毒剩余部分会在第三扇区之后继续写入保证其会先于其他加载。这样只能去重新制作系统。但是如果进入 PE,可以直接进行修复,病毒感染的文件也可以在 PE 当中直接替换。4.jpg5.jpg

    既然知道电脑关机不会出现问题,那至少可以放心大胆的关机了,通过上文分析,可以看得出,感染的是 winlogon 或者 explorer 进程,那就需要找到 WIN XP 的系统文件,然后将其替换一下,然后修复 MBR,再打开杀毒软件,然后就能干掉了。

    7.jpg6.jpg

    被感染的 MBR 都变成这样了,直接被挪了一个扇区,倒是原始数据还在,那没事了。

    想到这是一个蠕虫病毒,那虫子的头是哪里来的呢,那看起来需要抓一下了,我用 winshark 抓包分析?不不不,这太费劲了。

    打开火绒,找到火绒剑,里面有个网络探测,直接就开始奥力给。8.png

    根据目标的 ip,我们就可以找原始目标电脑了,一个内网状态,外网没有,没有抓到那个 C&C 交互的 ip,倒是从 IDA 里找到了一些

    9.jpg10.jpg

    不过没找到作者的 CC 服务器,不能和作者进行灵魂的交流,就很烦。

    打开火绒剑找源 ip,发现所有几乎所有的电脑都指向一个 ip—172.16.xx.xxx—这分明是数据库服务器的 ip 啊。我淦,急忙忙跑到机房,看了一下服务器运行状态,没有想象中的被攻陷,但是里面出现了一个 2018 年创建的 abc$123,还是 admin 权限,????,早有预谋?来不及解释了,快删掉!然后让老师检查数据库有没有问题

    经过了漫长时间的等待,海星,服务器没出问题。

    那么指向服务器的是我们这些电脑,那被指向的呢?又反查了一大圈之后确定到了是教室的一台电脑—172.16xx.xxx 那还说啥,先去把它的网线给拔了!

    拔掉网线之后,返回办公室,然后再次打开火绒剑,看看 172.16..已经没有连接了,那我下一步就备份数据,修复 MBR。然后就可以正常恢复业务了。

    停下来之后想了很多,作为内网机还需要进行内外网交互,那该怎么做才能进行良好的内外网交互,如何进行内网机器的漏洞更新或者病毒库升级呢?如果直接将内网机器放到外网,那无异于将金条放到大街上,直接联网肯定是不行,我将目光落到了那一台可以连接外网,瑟瑟发抖的 win7 主机,来,站岗!送你一个域点。这样实际上就是 win7 主机做一个防火墙。对于学校环境来说,也挺好的。

    然后在收拾东西的时候又想起了这个网络,为什么教室的网可以直接访问到重要的财务处的网络呢,难道不用做 VLAN 的划分吗,就这样就可以轻松的跳过交换机来打击财务处的电脑,那学校的网络划分肯定也有问题,问了一下相关的老师,的确没有,看起来,的确需要进行一次整改了。

    这??等会??莫不是??有学生不想充饭卡了??

    11.jpg

    大佬!带我一个!我也想免费吃饭!

    评分

    参与人数 1网币 +5 收起 理由
    陆工SU蒋 + 5 过程记录很详细,哈哈哈哈,鄙人有幸做过类.

    查看全部评分

    回复

    使用道具 举报

    游客
    回复
    您需要登录后才可以回帖 登录 | 获取账号

    快速回复 返回顶部 返回列表