攻防演练 | 分享一次应急处置案例
💡
原文中文,约1500字,阅读约需4分钟。
📝
内容提要
本文描述了一次在HVV期间的应急处置流程,作者通过抓包分析发现用户主机被钓鱼植入木马病毒,通过计划任务加载恶意DLL文件实现隐匿C2地址,最终成功清除病毒。
🎯
关键要点
- 接收到内网服务器中CS木马的通知,经过排查发现是通过钓鱼方式获取的用户主机权限。
- 信息收集阶段发现集团内部无安全设备,受害机为办公用户笔记本。
- 通过抓包分析确认主机被植入木马病毒,恶意域名为腾讯API域名。
- 发现svchost.exe发起外连请求,推测红队利用钓鱼构造恶意exe文件进行权限维持。
- MpCmdRun.exe是Windows自带的文件,加载了木马病毒的主体MpClient.dll。
- 通过虚拟机和沙箱分析确认MpClient.dll为病毒主程序。
- 最终删除MpCmdRun.exe计划任务启动项,清除mpClient.dll文件,成功清除病毒。
➡️
