ToB企服应用市场:ToB评测及商务社交产业平台

标题: Windows应急响应-PcShare远控木马 [打印本页]

作者: 灌篮少年 时间: 2024-10-1 06:05
标题: Windows应急响应-PcShare远控木马
目录

应急背景

曲某今天想要装一款软件，通过网上搜索看到非官方网站进入后直接下载下来后举行安装，他发现双击安装的时候存在无响应一段时间后才开始安装，由于他自己电脑是新的而且设置也不错，没有遇到过这种环境，感觉可能这个安装软件有标题，所以他就找到了竹某，盼望帮他排查一下电脑是否中病毒木马了。
竹某了解环境后就上机举行排查。
木马查杀

1.查看异常连接

netstat -ano | findstr "ESTABLISHED"

复制代码

发现存在异常连接

线索卡
1.异常连接，端口号4024

2.查看进程

使用PChunter工具
PChunter工具分享地点：https://pan.baidu.com/s/1_OMmoe5aFGDu3--q0u94pw?pwd=w3rb
查看进程模块

发现有两个dll调用模块没有厂商签名验证

这里使用sigcheck再次对签名举行校验判断，两个dll文件确实是没有校验的。
Sigcheck工具分享地点：
https://pan.baidu.com/s/1qqA5T1ySskwc-_gVWO1MDA?pwd=d7jl
使用方法：signatrue.exe 指定文件路径

接着拷贝出来丢到沙箱上，结果出来就确定是木马，看到特性Variant.PcClient，可能是PcShare远控木马。

线索卡
1.异常连接，端口号4024
2.进程模块定位两个dll后门文件，( WeChat.dll wechatctr.dll )

3.查看服务

tasklist /svc | findstr "4024"

复制代码

这里看到是微信的服务名，而且还是svchost.exe，但是我们没有开微信程序，而且全部网页都关闭了，这边只有这个是创建连接的，还是比力可疑，所以要继续排查。

用PChunter定位到该服务，可以看到仍旧是没有签名校验,

线索卡
1.异常连接，端口号4024
2.进程模块定位两个dll后门文件，( WeChat.dll wechatctr.dll )
3.WeChat异常服务

定位到注册表

通过异常服务可以定位到注册表数据

从这里也能看到注册表中记录了后门dll的文件名路径

线索卡
1.异常连接，端口号4024
2.进程模块定位两个dll后门文件，( WeChat.dll wechatctr.dll )
3.WeChat异常服务
3.1.WeChat服务对应的注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

开始查杀

1.把进程杀掉
杀进程之前删看可否删掉后门dll文件
删除对应的后门dll模块
通过PChunter定位到文件位置，或者在PChunter中直接删除也行

接着就可以停掉进程了

taskkill /F /PID 4024

复制代码

发现使用命令删不掉

实验使用PChunter举行删除

成功竣事进程

3.服务删除干净（包括注册表）
先定位到注册表将其删除

假设你要手动删除的话，要注意有几个地方都必要你留意删除干净，展开查看是否有service相干的目录项，有的话就必要排查，查看是否存在Wechat与后门dll文件相干的注册表，必要删除干净一点。

我这里用了Process Hacker删除服务，能删的挺彻底的，会把注册表全部相干的都删干净。
Process Hacker工具分享地点：
https://pan.baidu.com/s/13GFrYFlNSfy48CEepPHkuA?pwd=mm7g

不建议使用PChunter和Antoruns来删除，删不干净，实测发现会将注册表中重要的删除，剩下另外的几个目录项另有残留。
PChunter不会删除相应文件。
而autoruns删除后举行查看发现剩下三个目录项都没删干净，可能autoruns只能删除开机自启相干的，只能继续手工将其残留项删除。

线索卡
√已解决1.异常连接，端口号4024

√已解决2.进程模块定位两个dll后门文件，( WeChat.dll wechatctr.dll )

√已解决3.WeChat异常服务

√已解决3.1.WeChat服务对应的注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Wechat

入侵排查

1.账户排查

这里省略步骤了，遇到了再具体提，这里账号没标题
重要排查以下几点：