信息收集

通报里有外联ip,然后对着ip去威胁情报上面搜了下

1
154.84.62.140


找到了相关样本

然后看了下两个样本的分析
1.zip会产生如下文件,并有相应行为

ServerBB.exe直接运行就是回连恶意ip

排查

既没有安全设备,也没有日志,毕竟是个人办公电脑,然后之前现场的技术工程师跟我说,用360查杀了一遍,那也就是说,连马子叫啥都不知道
从360那里看了,也没有查杀记录,说是没用,然后刚刚重下的,嗯,我又查杀了一遍,确实没用,查杀完直接卡死。。。。。只能说,uos系统牛逼
那没法了,好像只有个自带的杀软能用,看了下引擎还是恒子的

那就一顿扫呗,现场的技术工程师说有开防火墙,本就是复测嘛,就是看看到底解决没有,想着先看看防火墙日志,结果tmd加了规则,开了,但是如开,因为没有设置开机自启,那。。。。。我说怎么之前搜日志,都显示文件不存在,然后就是帮他开下

那只能排查下进程和文件,没办法,只能对着威胁情报来查了



看到本来就有装个wireshark,那就对着有流量的四个网口抓包看看,然后通过过滤规则看看,主要就是看看有没有外联







啥都没有啊,然后同事也去验证了是否是有网络隔离,也确认了
接着就是等扫描结果,嗯确实没东西,应该安全吧

安全,肥肠安全