记一次木马的发现

昨天清理磁盘,整理旧文件的时候,轻信直接打开了wooyun zone里某位白帽子分享的工具,一时大意,中马了。

PC机上有个360安全卫士,也没有一丁点的提示。。。(这木马过360的)

随后我在修改subDomainsBrute的时候,抓dns query,惊讶地发现,出现了一个3322.org的域名,并且对应记录是不存在的,如下图:

likang.3322.org

以前玩远控木马的同学可能知道,3322.0rg,花生壳之类的,常常被用来木马在内网反向上线的。所以,这个地方十分不正常,这让我意识到,有较大的几率已经中马了。

用360安全卫士扫描,没有发现任何木马和危险项,之前也提到了,这个木马是过360的。

现在的问题是,如何抓到这个木马,我绕了一个弯子,因为我想从dns query入手来查找(正确的做法是打开进程查看器,逐个进程检查):

  1. 我们已经知道,木马会主动去连likang.3322.org,但是wireshark是抓不到进程pid,它仅仅支持从某一网卡抓包,并不关心包来自于哪个进程
  2. 即使能抓到DNS查询的对应进程,其实也只能抓到windows下的DNS Client:svchost.exe进程,实际并无意义,我们依然不知道背后到底是哪个进程在请求likang.3322.org

在抓dns query源进程受阻的情况下,我想到,既然木马想访问likang.3322.org,而这个域名又不存在。 那么我应该可以欺骗它去访问我自己的服务器,我修改hosts文件,添加:

这个时候,我应该可以抓到访问likang.3322.org的其他请求了。

我用smartsniff抓包,发现有到目标11.22.33.44的http request,木马会请求http://likang.3322.org/ip.txt,看起来像是一个DDOS木马,下载攻击目标的。

这个时候我还是没抓到进程,对应的http://likang.3322.org/ip.txt文件并不存在,http request一瞬间就结束了,tcp查看工具因为刷新频率的原因,还看不到对应的进程。

于是我在11.22.33.44上python起了一个http server,并且让get请求hang住,sleep 30s,最终抓到了对应的进程:

virus_found

如图,QQ进程:

process_QQ

总结一下,上面也说到,正确的做法,应该是查看进程列表,然后逐个检查进程是否正常,从 启动时间 |  可执行文件的创建日期 等特征对比。

绕个弯子,换了个思路。  🙂

10 Responses

  1. 文雨
    文雨 2016 年 6 月 1 日 at 15:43 | | Reply

    get请求hang住 这步是怎么做的啊

  2. xiaoxiao
    xiaoxiao 2016 年 6 月 2 日 at 11:32 | | Reply

    博主能否说一下是哪个软件啊,防止被坑啊。。

  3. oneroy
    oneroy 2016 年 6 月 3 日 at 13:42 | | Reply

    针对http 请求抓包,推荐HttpAnalyzer,它可以定位到进程

  4. mid9
    mid9 2016 年 7 月 6 日 at 12:30 | | Reply

    这个湾子绕得好!

  5. TMD
    TMD 2016 年 8 月 15 日 at 09:56 | | Reply

    谁发的啊?爆出来啊,不会抱着“惹不起,我还躲不起!”的心理吧?还是你压根就不记得是从哪下的软件了(随意指个乌云白帽子,搞点噱头)?还是TMD搞个虚拟机演戏?

  6. cmxz
    cmxz 2016 年 9 月 7 日 at 19:07 | | Reply

    可以从wireshark中看到源端口号,然后用netstat查出占用该端口号的进程ID,然后从任务管理器找到该ID的进程名

  7. xy
    xy 2016 年 10 月 8 日 at 11:57 | | Reply

    这个是什么?居然能百度到。http://www.lijiejie.com/wp-content/uploads/2014/08/126_user_questions.txt

Leave a Reply