记一次Emotet木马处理案例
0x00、前言
用户的安全意识相对薄弱,面对来历不明的链接和附件,容易被诱导从而遭受木马的入侵。在日常使用过程中,有时电脑中病毒后会遇到木马查杀不掉的情况,应该是如何处理呢?下面分享一个Emotet木马处理的案例,希望对你有所帮助。
0x01、案例说明
从流量侧监控到多个用户终端频繁发送邮件,涉及大量收件人与发件人并带有附件,疑似感染木马,用户手动杀软查杀无果。
0x02、原因分析
既然杀软无法处理,那就只能手工来分析排查了,依靠系统运维的经验,首先需要对当前的异常现象进行分析,重点关注进程、启动项、网络等的异常情况。
这里,我们使用火绒自带的安全分析工具--火绒剑,进行手工分析排查。
(1)进程分析
使用用户账号登录,对用户的所有进程进行一项项排查,查看可疑的进程及其子进程。通过排查我们可以发现,regsvr32.exe进程中存在异常加载的组件,无签名、无描述信息,临时文件路径。
(2)启动项分析
用户的登录启动项中,在这个列表中,我们看到存在两项异常的注册表登录启动项,而且文件路径还跟进程分析发现异常文件可以对应上,那么基本可以确认这个文件是有问题的。
(3)文件分析
将用户终端上获取到的恶意文件上传到微步云沙箱,通过威胁情报、静态和动态行为分析,发现恶意程序存在的异常。
样本一:
样本二:
在另一个终端获取的样本,就比较有意思了,发现反检测、反逆向、信息搜集等行为。
(4)处置建议
通过以上大致的分析,我们可以得到处置方案,使用用户账号进入用户登录环境,删除用户注册表下的异常启动项,然后删除用户临时文件路径下的异常文件,最后重启电脑就完事了。
0x03、防范措施
尽量避免打开来历不明的邮件、链接和附件,特别不要随意开启文档文件的宏功能。另外,对于个人用户来说,掌握一些安全工具和入侵排查的技巧,可以让你的电脑变得更安全。