事件背景
深度威胁检测设备发现大量的DNS response of a queried malware Command and Control domain告警事件,尝试进行C&C攻击,根据分析,因终端感染病毒,病毒文件尝试访问恶意网址,首先到DNS上进行解析,但是内网DNS无法解析到该域名,导致解析失败,同时该恶意域名被入侵检测设备检测到。现在明确终端中毒,本次过程通过深入发掘通信过程,找出恶意进程,并进行病毒木马清除。
事件排查过程以及结果
根据TDA报送的告警事件,恶意回调的域名为amnsreiuojy.ru,感染终端为:x.x.x.14,详细信息为:
将域名丢进威胁情报查一波:
为找出该恶意进程,进行如下操作:
1、在终端上,修改hosts文件,将域名强制指向b.b.b.20.
2、在终端上,找到与该域名通信的进程:
3、显然是wuauclt.exe被恶意感染。wuauclt.exe是Windows自动升级管理程序。该进程会不断在线检测更新。删除该进程将使计算机无法得到最新更新信息。显然,病毒注入了该进程,通过该进程启动,删掉该进程可以暂时解决问题,但是一开机重启,病毒又会运行起来。
4、通过查看操作系统启动项,看是否有不明文件:
5、显然12646这个文件显得不明不白,直接丢进沙箱进行一波分析,发现病毒通过优盘传播:
多个引擎检测出来病毒:
通过注册表实现自启动:
尝试访问恶意域名,尝试访问恶意域名,并与入侵检测设备报送一致:
进程树如下,与最初判断一致:
6、处置方法:
1)删除自启动注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\34286
2)删除文件
C:\ProgramData\Local Settings\Temp\cckcelu.com
3)删除开机启动文件12646
7、通过处置后,再无往外请求恶意域名的流量: