记一次简单的应急响应
字数 2063 2025-08-15 21:31:23

企业内网安全应急响应实战教学:驱动人生病毒与宏病毒处置分析

一、事件概述

本案例记录了一起针对企业内网的复合型攻击事件,攻击者通过多种手段入侵内网系统,主要包含:

  1. 驱动人生挖矿病毒(利用永恒之蓝漏洞传播)
  2. OMacro宏病毒
  3. 内网横向渗透(SMB爆破、mimikatz凭证窃取)

二、攻击现象与初步判断

2.1 初始症状

  • 内网存在大量爆破行为(包括专网)
  • 系统资源异常占用(挖矿行为)
  • 网络流量异常(非法外联)

2.2 环境问题

  • 网络环境混乱(DHCP配置不当)
  • 多台主机存在错误配置
  • 系统补丁未及时更新
  • 杀毒软件未保持最新状态

三、病毒分析

3.1 驱动人生病毒组件分析

3.1.1 主要病毒文件

文件路径 功能描述
C:\Windows\system32\svhost.exe 主程序(仿冒svchost)
C:\Windows\SysWOW64\svhost.exe 主程序(64位系统)
C:\Windows\system32\drivers\svchost.exe 横向传播组件
C:\Windows\SysWOW64\drivers\svchost.exe 横向传播组件
C:\Windows\temp\svvhost.exe 横向传播程序
C:\Windows\temp\svchost.exe 横向传播程序
C:\Windows\system32\wmiex.exe 后门程序
C:\Windows\SysWOW64\wmiex.exe 后门程序
C:\Windows\system32\drivers\taskmgr.exe 任务管理器伪装程序
C:\Windows\SysWOW64\drivers\taskmgr.exe 任务管理器伪装程序
C:\Windows\temp\m.ps1 mimikatz脚本
C:\Windows\temp\mkatz.ini mimikatz结果文件
C:\Windows\temp\p.bat 永恒之蓝漏洞利用脚本
C:\installed.exe 主程序更新文件
$env:temp\update.exe 更新程序

3.1.2 病毒行为特征

  1. 传播方式

    • 利用永恒之蓝漏洞(MS17-010)横向传播
    • 暴力破解SMB服务进行传播
    • 通过恶意服务项维持持久性

  2. 攻击流程

    • 初始感染 → 横向传播 → 安装后门 → 下载挖矿组件 → 清除痕迹

  3. 变种特性

    • 自动创建备份文件夹用于病毒复活
    • 具备自我清理痕迹能力

3.2 宏病毒分析

  • 文件嵌入恶意宏代码
  • 功能:请求下载可执行文件并保存到本地执行
  • 传播方式:通过感染Office文档传播

四、攻击链重建

  1. 初始入侵:推测通过钓鱼邮件或漏洞利用进入内网
  2. 横向移动
    • 使用永恒之蓝漏洞攻击内网其他主机
    • 通过SMB爆破获取更多主机权限
    • 使用mimikatz抓取凭证进行域渗透
  3. 持久化
    • 创建恶意服务项
    • 安装后门程序
  4. 恶意负载
    • 部署挖矿程序
    • 植入宏病毒进一步传播

五、应急响应流程

5.1 初步处置

  1. 网络隔离

    • 对所有受影响主机进行断网处理
    • 逐个排查每台主机

  2. 病毒查杀

    • 使用专业杀毒工具进行全面扫描
    • 特别注意临时目录和系统目录

5.2 深度分析

  1. 日志分析

    • 检查SMB登录日志(示例:146.16.67.9 → 146.16.67.4)
    • 分析恶意命令执行记录

  2. 网络取证

    • 抓包分析异常流量
    • 追踪C2服务器地址(需通过威胁情报平台查询)

  3. 文件分析

    • 检查病毒文件签名、时间戳等元数据
    • 分析恶意脚本内容

5.3 根除措施

  1. 病毒清除

    • 删除所有已识别的恶意文件
    • 清理恶意注册表项和服务

  2. 宏病毒处理

    • 删除嵌入的宏代码
    • 保留原始文档内容

  3. 系统加固

    • 安装所有关键补丁(特别是MS17-010)
    • 更新杀毒软件病毒库
    • 加强SMB服务安全配置

六、经验总结与防御建议

6.1 事件暴露的问题

  1. 内网安全防护薄弱
  2. 补丁管理不及时
  3. 终端防护措施不足
  4. 网络监控能力欠缺

6.2 防御建议

  1. 基础防护

    • 定期更新系统和应用补丁
    • 部署终端防护解决方案并保持更新
    • 禁用不必要的服务和协议(如老旧SMB版本)

  2. 网络架构

    • 实施网络分段,限制横向移动
    • 加强DHCP管理,实施IP-MAC绑定

  3. 监控响应

    • 部署网络流量监控系统
    • 建立SMB爆破等异常行为检测机制
    • 定期进行安全审计和渗透测试

  4. 安全意识

    • 加强员工安全意识培训
    • 建立钓鱼邮件防范机制

七、附录:常用检测命令

  1. 检查异常进程:
Get-Process | Where-Object {$_.Path -like "*temp*" -or $_.Name -eq "svhost"}
  1. 检查异常服务:
Get-WmiObject Win32_Service | Where-Object {$_.PathName -like "*temp*"}
  1. 检查SMB连接:
Get-SmbConnection
  1. 检查计划任务:
Get-ScheduledTask | Where-Object {$_.TaskPath -like "*temp*"}

本案例展示了现代企业内网面临的复合型威胁,强调了基础安全措施的重要性以及及时应急响应的必要性。通过此案例,安全团队应建立更完善的安全防护体系和应急响应流程。

企业内网安全应急响应实战教学:驱动人生病毒与宏病毒处置分析 一、事件概述 本案例记录了一起针对企业内网的复合型攻击事件,攻击者通过多种手段入侵内网系统,主要包含: 驱动人生挖矿病毒(利用永恒之蓝漏洞传播) OMacro宏病毒 内网横向渗透(SMB爆破、mimikatz凭证窃取) 二、攻击现象与初步判断 2.1 初始症状 内网存在大量爆破行为(包括专网) 系统资源异常占用(挖矿行为) 网络流量异常(非法外联) 2.2 环境问题 网络环境混乱(DHCP配置不当) 多台主机存在错误配置 系统补丁未及时更新 杀毒软件未保持最新状态 三、病毒分析 3.1 驱动人生病毒组件分析 3.1.1 主要病毒文件 | 文件路径 | 功能描述 | |---------|---------| | C:\Windows\system32\svhost.exe | 主程序(仿冒svchost) | | C:\Windows\SysWOW64\svhost.exe | 主程序(64位系统) | | C:\Windows\system32\drivers\svchost.exe | 横向传播组件 | | C:\Windows\SysWOW64\drivers\svchost.exe | 横向传播组件 | | C:\Windows\temp\svvhost.exe | 横向传播程序 | | C:\Windows\temp\svchost.exe | 横向传播程序 | | C:\Windows\system32\wmiex.exe | 后门程序 | | C:\Windows\SysWOW64\wmiex.exe | 后门程序 | | C:\Windows\system32\drivers\taskmgr.exe | 任务管理器伪装程序 | | C:\Windows\SysWOW64\drivers\taskmgr.exe | 任务管理器伪装程序 | | C:\Windows\temp\m.ps1 | mimikatz脚本 | | C:\Windows\temp\mkatz.ini | mimikatz结果文件 | | C:\Windows\temp\p.bat | 永恒之蓝漏洞利用脚本 | | C:\installed.exe | 主程序更新文件 | | $env:temp\update.exe | 更新程序 | 3.1.2 病毒行为特征 传播方式 : 利用永恒之蓝漏洞(MS17-010)横向传播 暴力破解SMB服务进行传播 通过恶意服务项维持持久性 攻击流程 : 初始感染 → 横向传播 → 安装后门 → 下载挖矿组件 → 清除痕迹 变种特性 : 自动创建备份文件夹用于病毒复活 具备自我清理痕迹能力 3.2 宏病毒分析 文件嵌入恶意宏代码 功能:请求下载可执行文件并保存到本地执行 传播方式:通过感染Office文档传播 四、攻击链重建 初始入侵 :推测通过钓鱼邮件或漏洞利用进入内网 横向移动 : 使用永恒之蓝漏洞攻击内网其他主机 通过SMB爆破获取更多主机权限 使用mimikatz抓取凭证进行域渗透 持久化 : 创建恶意服务项 安装后门程序 恶意负载 : 部署挖矿程序 植入宏病毒进一步传播 五、应急响应流程 5.1 初步处置 网络隔离 : 对所有受影响主机进行断网处理 逐个排查每台主机 病毒查杀 : 使用专业杀毒工具进行全面扫描 特别注意临时目录和系统目录 5.2 深度分析 日志分析 : 检查SMB登录日志(示例:146.16.67. 9 → 146.16.67. 4) 分析恶意命令执行记录 网络取证 : 抓包分析异常流量 追踪C2服务器地址(需通过威胁情报平台查询) 文件分析 : 检查病毒文件签名、时间戳等元数据 分析恶意脚本内容 5.3 根除措施 病毒清除 : 删除所有已识别的恶意文件 清理恶意注册表项和服务 宏病毒处理 : 删除嵌入的宏代码 保留原始文档内容 系统加固 : 安装所有关键补丁(特别是MS17-010) 更新杀毒软件病毒库 加强SMB服务安全配置 六、经验总结与防御建议 6.1 事件暴露的问题 内网安全防护薄弱 补丁管理不及时 终端防护措施不足 网络监控能力欠缺 6.2 防御建议 基础防护 : 定期更新系统和应用补丁 部署终端防护解决方案并保持更新 禁用不必要的服务和协议(如老旧SMB版本) 网络架构 : 实施网络分段,限制横向移动 加强DHCP管理,实施IP-MAC绑定 监控响应 : 部署网络流量监控系统 建立SMB爆破等异常行为检测机制 定期进行安全审计和渗透测试 安全意识 : 加强员工安全意识培训 建立钓鱼邮件防范机制 七、附录:常用检测命令 检查异常进程: 检查异常服务: 检查SMB连接: 检查计划任务: 本案例展示了现代企业内网面临的复合型威胁,强调了基础安全措施的重要性以及及时应急响应的必要性。通过此案例,安全团队应建立更完善的安全防护体系和应急响应流程。