0x00 引子

近日,终端安全运营小组接到一起黑域名告警事件,一台办公计算机发起了对某互联网恶意网络地址的访问请求,根据威胁情报,该域名识别为“远控--匿影僵尸网络”,触发安全告警。

安全人员第一时间定位到该办公电脑,联系到电脑使用人。

该同事非常困惑,不知为何自己的电脑会突遭毒手。

0x01 初步处置

不管三七二十一,先将设备断网,防止病毒扩散。

安全人员查看该设备上的防病毒软件状态,病毒码已更新至最新,每周五的全盘扫描也已经正常执行,但查询最近一周的病毒日志,并没有异常告警。应该是新的病毒变种,或者做过免杀,逃过了防病毒软件的检测。

怎么办?

难道又要像之前一样:重装系统吧兄嘚!

0x02 病毒溯源

经过一年的终端安全运营,我们当然不能再这么粗暴了,病毒溯源分析处置流程走起来,看看能不能再挽救一下?

1、日志溯源:安全人员立即展开溯源分析,根据DNS请求域名的线索进行日志分析,发现了发起网络请求的恶意进程。

officekms.exe这个进程发起了对恶意域名的请求。

2、进程溯源:进一步分析该进程的其他行为,发现除了发起DNS请求,还进行了文件创建、读写、进程创建等操作。

在c:\\ProgramData\\xidAHBXFQg目录下创建了cfg、cfgi两个文件并进行了读写。

创建进程,执行了上一步写入的cfgi文件中的命令。

找到该文件,发现里面有经过base64加密的代码。

进行解密,发现了其中的恶意代码和另一个恶意域名“xmr.f2pool.com:13531”

从该文件中可以发现”coin”:”monero” ,这是门罗币挖矿的信息。

根据其中”user”账户信息,在互联网上进行搜索,可溯源到该矿主已经挖到的门罗币:

证实了这是一个挖矿病毒,可以看到刚挖不久,总收益还不是很多,也印证了之前的猜想:这是一个新型病毒,防病毒系统还没有它对应的病毒特征码。

由于虚拟货币匿名化的特征,无法再进一步继续追查。

3、样本分析:获取officekms.exe程序样本,传入沙箱进行分析。

结果显示为高风险,检测到多项恶意行为特征。

没错,发起黑域名的请求,就是它干的!

4、来源调查:经过详细了解,该同事说明了该病毒文件的来源,officeKMS.exe为其在外网下载的激活工具,使用行内U盘拷贝至办公电脑。本次事件深深震撼了这名同事,其对自己的不当行为进行了深刻反思。

0x03 病毒处置

根据沙箱给出的详细报告,找到剩下的恶意代码程序,一并进行删除,杀毒。

终于!终于!终于!不用重装系统了,回想起过去杀不掉的病毒只能在用户的杀人眼神下重装系统,大家流下了激动的眼泪。

0x04样本提交

将样本提交给防病毒厂商,提取病毒特征,制作病毒码。

通过病毒码更新,确保全行的防病毒客户端可直接将该病毒查杀。

0x05 总结

这是一起比较典型的病毒感染事件,反映出几点突出问题。

1、使用盗版软件、激活工具的行为蕴含了巨大的安全风险。

盗版软件、激活工具本身就是经过非法篡改的,黑客经常会在其中埋下后门、木马病毒,以实现其不可告人的目的。

2、使用盗版软件面临巨大法律风险。

《中华人民共和国侵权责任法》第三十四条规定,“用人单位的工作人员因执行工作任务造成他人损害的,由用人单位承担侵权责任。”员工使用该盗版软件的目的是为了完成公司的工作任务,由此对他人造成损害的,该侵权责任应当由公司承担。

 类似案例屡见不鲜:

为保障终端软件供应链的安全,目前我行在多方面已经开展和计划开展以下工作:

一是优化防病毒策略,针对激活工具类灰色软件,加强查杀力度;

二是搭建全行共享的终端软件中心,加强终端软件供应链的安全准入管理,方便员工获取所需的正版软件;

三是通过软件进程黑白名单的运营和技术控制,对终端软件的安装和运行进行管控;

四是持续开展常态化的安全意识培训,培养良好的安全文化。

“封堵”和“疏通”并举,有效提升办公软件使用安全。

中国光大银行 信息科技部安全管理处

作者:戴晋

视觉:刘丹华

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。