1. 首頁 > 生活 > >

電腦中病毒的原因是什么 電腦里的病毒

小知識電腦里的病毒



文章插圖
電腦中病毒的原因是什么 電腦里的病毒

文章插圖
網絡安全
事件描述由于經常購買服務器,某天,發現一臺服務器上面雖然安裝了 360,但是,仍然提示入侵提示。讓我特別納悶,于是開始調查下原因
首先設想了三種可能性:1.存在系統漏洞2.由于前期運維在服務器上裝了一些工具軟件,會不會工具軟件引入的病毒3.應用層漏洞 。
首先,用更新庫的漏掃對系統層面的漏洞檢測,未發現任何異常;
由于會有開發連接進這臺服務器,去開發那里收集工具軟件進行查毒處理,也沒發現異常,排除通過軟件帶入病毒的可能;那難道是通過應用層漏洞進來的?
因為系統上線前都會經過web滲透測試,文件上傳,SQL注入等常規漏洞已經修復,雖然這樣,還是重新驗證了一遍漏洞,沒有問題,又用D盾webshell檢測工具進行了掃面,未發現任何webshell 。
那病毒是怎么產生的?
溯源準備
由于病毒無法清干凈,也不清楚黑客是已經在機器上做了哪些手腳,于是重新搭建一個干凈的環境,給系統打好最新的補丁 。
由于前期沒有在主機端做日志收集類工具,缺乏主機端的攻擊溯源手段,于是臨時搭建了splunk日志分析系統,并在新搭建的服務器上安裝了sysmon日志收集工具,對主機層面進行了日志收集 。
過了一星期左右,小Z發現系統進程里面居然多了個叫wcmoye的進程,憑感覺這不是個正常程序,那就先從這個程序開始入手調查吧 。
常規排查
常規排查還是采用了微軟經典系統工具systeminternals套件,分別對啟動項,系統進程,網絡連接等簡單做了排查 。
啟動項除了services這一項發現了一個奇怪的StuvwxAbcdefg Jkl,其他沒有特別值得注意的地方 。
進程排查就是那個叫wcmoye.exe的進程
進程依賴于StuvwxAbcdefgh Jkl這個服務
網絡通信:用tcpview觀察wcmoye.exe會不定時連接一公網ip的9999端口
同時會有一些注冊表及文件系統上的行為,確定wcmoye躲在C:windowssyswow64目錄下
初步排查得出的結論是:wcmoye進程依賴于名叫Stuvwx Abcdefg Jkl系統服務,去syn鏈接公網ip的9999端口,是個木馬程序 。
在對wcmoye有了一定認識之后,小Z想它是從哪里來的,這時,之前搭建的日志分析系統派上了用場 。
0×4 日志排查
這個問題得從wcmoye.exe在系統中產生的第一時間著手調查 。于是打開splunk開始搜索:通過 wcmoye關鍵字的搜索,發現6月6日20:24發生如下可疑事件:
20:24:11 Tomcat目錄下有一個叫NewRat的可執行文件生成wcmoye.exe,原來wcmoye是有一個叫NewRat的可執行文件生成的,但是回到Tomcat目錄下查看,并沒有發現NewRat.exe這個文件.
不急,進一步搜索NewRat,發現了更大的信息量:在wcmoye被創建的前一秒 20:24:10,tomcat7.exe去調用cmd.exe執行了一段比較長的腳本,
隨著時序跟蹤事件的發展,發現在20:24:12 調用cmd.exe刪除了NewRat.exe
同時還觀察到services.exe的執行,系統服務創建
關注sysmon的EventCode 3,wcmoye的進程會與下載NewRat的那個公網ip的9999端口有通信日志,
其實到這里,wcmoye是從哪里進來的已經基本搞清楚了,接下來的問題就是為什么會進來?Tomcat為什么去執行這些惡意命令?現在唯一的線索就是日志中的那個ftp登陸的ip以及賬號密碼了,繼續吧 。
0×5 順藤摸瓜
帶著好奇心,繼續探索過程,直接進入了這個ftp服務器!
使用FileZilla進入ftp服務器的目錄,以一目十行地速度快速掃了一遍,首先蹦入小Z眼簾的就是NewRat.exe,不錯,和前面的調查結果相吻合,NewRat就安靜地躺在這里 。
還有個獨特專版st2-045 winlinux小組版文件夾,潛意識告訴這個文件夾里面很可能有謎底的答案,先直接百度一下
好家伙,雙系統傳馬還Kill國內外主流殺毒軟件,關鍵是st2-045這個就是遠程代碼執行(RCE)漏洞(S2-045,CVE-2017-5638),不禁一顫,之前居然沒想到測試這個高危的提權漏洞 。
start.bat開始看吧
有一個叫wincmd.txt的文件,是winows平臺下的執行腳本,紅框的內容和前面splunk日志中的那段日志一模一樣,也就是幫引導到這里的那段關鍵日志 。
Linux平臺的腳本:關閉防火墻,下載一個叫tatada的ELF文件,把netstat等系統命令改名,清空日志等等
Result.txt文件,記錄著一些掃描到的ip的端口開放情況
Windows.txt和linux.txt里面貌似都是存在漏洞的網址 。。。
而且其中有一個關鍵的發現,就是所在公司的網站接口居然在一個叫http.txt的list里面
【電腦中病毒的原因是什么 電腦里的病毒】到這里,已經大致猜得出自己的公司網站是怎么被盯上的了 。再看下幾個可執行文件:
S.exe就是掃描器
IDA載入str045
看得出Str045.exe就是struts2-045的利用腳本程序,他會去讀取S.exe掃描出的ip及端口開放情況的文件,組合do,action等開啟多線程去exploit,然后根據被攻擊的系統版本,去執行相應的腳本,像這臺web服務器是windows的,就會去執行wincmd.txt 。
0×6 網絡架構
目前調查到的種種跡象讓堅信黑客是通過struts2-45漏洞進來的!于是去網上下載了一個最新的struts漏洞檢查工具,直接對網站的80端口進行檢測,但結果出乎意料,居然沒有漏洞報警 。
黑客服務器上只有針對strusts2-045的攻擊腳本,但是檢測又沒有發現漏洞 。這個矛盾的問題不禁思考更多的可能性 。
在陷入迷茫的深思同時,不經意的翻看著tomcat的localhost_access_log日志,突然一批ABAB型日志出現在他眼前,一個公網地址,一個內網地址,時間就在NewRat出現的前幾分鐘20:20:36:
這串高度相關的日志 究竟隱藏著什么意義?會不會是解開謎團的入口?帶著強烈的好奇心,咨詢了網絡組的同事,什么情況下才會出現這樣的情況,網絡組給出了網站如下的網絡架構,并說明了由于業務的臨時需求,新對網絡架構做了新的調整 。
服務器的內網端口是7070,公網防火墻上開放了80,443和8090端口 。公網端口8090作了NAT對應內網的7070端口,據說是因為業務新需求開放的;同時為了安全考慮,公網用戶如果只訪問了80后,F5會做強制443端口跳轉訪問F5的一個vip地址 。
這種網絡架構,當有人在公網掃描到80和8090端口時,就會出現ABAB型日志,即A就是通過NAT進來的,B是從vip地址過來的 。所以才會出現上述奇怪日志的原因,那個時刻,是黑客服務器在掃描 80和8090端口 。
0×7 水落石出
NewRat也是在那個奇怪的日志后產生的,這時一個念頭閃現在腦海里,還是用struts漏洞利用工具,不過這次是去嘗試web的的8090端口!一串清晰的紅字,警告:存在Struts遠程代碼執行漏洞S2-045 !
再試試443端口,也能檢測出:
獲取web系統內網IP信息
而且通過搜索tomcat目錄找到 struts的版本為2.5.10,的確是存在S2-045漏洞的版本 。
至此,這次入侵的來龍去脈,小Z已經調查清楚了 。由于網站使用了struts框架 版本為2.5.10,存在struts2-045漏洞,黑客通過公網掃描找到網站,進而執行exploit把病毒程序傳到服務器里面執行,不停的病毒警告是因為不斷有人在公網利用漏洞入侵服務器 。
0×8 題外話
但同時,小Z也注意到了另一個問題,為什么struts漏洞利用工具直接訪問80端口無法檢測出漏洞?
小Z于是想到了Wireshark,這個網絡放大鏡或許能給出點蛛絲馬跡 。還是抓包對比一下吧 。
抓一下未檢測出漏洞的80端口的包,
第一次get請求,F5返回了一個https的302重定向后,由于connection:close,F5直接做出了FIN ACK
第二次,軟件請求的還是與80端口,而且get請求是帶完整https url路徑的,這種請求格式導致F5返回一個奇怪的重定向https://WWW.XXX.COMhttps://WWW.XXX.COM/test/test.do.導致漏洞驗證失敗 。
再來對比一下瀏覽器頁面訪問80端口測試:經過tcp三次握手,瀏覽器發出get請求之后,F5返回一個302重定向,瀏覽器于是向443端口開始了三次握手,接下來就是https的通信過程,
通過對比實驗分析,發現在漏洞利用工具在測試80端口時,如果網站做了80轉443端口的強制跳轉,瀏覽器在得到302重定向后就開始向443端口開始3次握手,而測試軟件的數據包處理過程就有問題,這時候直接測試80端口軟件就會存在誤報 。
小Z之前由于粗心,只測試網站的80端口,得出錯誤的結論,原因也找到了 。
0×9 結尾
到此為止,所有的謎團一一解開,小c結束了這次曲折的入侵取證之路 。