实战病毒木马之三 :smss病毒处置报告

1          问题发现

2020年6月23日,网络工程师在防火墙巡检中发现USB管控软件服务器(192.168.15.8)有流量异常,该服务器对外有大量尝试连接的SYN包。该服务器购买于2011年,目前属于超长服役中,主要用于USB管控软件的服务端,网络上是禁止连接互联网的。该服务器于2020年4月16日首次部署公司统一的防病毒软件。

实战病毒木马之三 :smss病毒处置报告

查看防病毒后台日志,该服务器未见异常。防病毒软件全盘扫描,未检测出威胁。查看IDS日志,未见异常日志。难道说遇到了传说中的高手?看来只能尝试手工排查了。

2          手工排查

2.1      检查网络连接状态

登录该服务器,netstat -aon命令查看网络连接,发现有大量的对外主动发起连接的SYN包,目的IP地址为1.5.166.244(IP归属地为日本东京),没有已建立的外网网络连接,这属于合理现象,因为该服务器没有出外网的权限。该异常连接对应的进程PID为9076。

实战病毒木马之三 :smss病毒处置报告

2.2      检查异常进程

通过PID找到该异常连接的进程为smss.exe。上网查找资料, smss.exe(Session Manager Subsystem)进程为会话管理子系统用以初始化系统变量,正常路径在C:WindowsSystem32和C:WindowsServicepackfilesi386下面。而异常进程文件smss.exe在C:windowsfontskins文件夹下,显然有异常,很可能是病毒木马伪装的。

实战病毒木马之三 :smss病毒处置报告

2.3      检查文件属性

选中文件右键查看文件属性,该文件的详细信息中,各类值几乎为空,这更加可疑,该文件的修改日期是2020年3月30日,早与防病毒软件安装日期2020年4月16日。

实战病毒木马之三 :smss病毒处置报告

2.4      病毒云查杀

将该可疑文件上传至病毒扫描平台www.virscan.org,49款软件均没有发现病毒。说明该恶意程序是做了精心的免杀处理,目前绕过主流的杀毒软件。

实战病毒木马之三 :smss病毒处置报告

2.5      可疑文件删除

压缩备份smss.exe文件后,选择删除该文件,提示无法删除,并导致系统卡死,重启系统后该文件被删除,过了会儿该文件又复活,说明有守护进程。查看其它相同操作系统的服务器,C:windowsfonts文件夹下压根就没有kins文件夹,将该文件夹压缩备份,用pchunter工具将该文件夹强制删除。

2.6      检查注册表

查询smss关键字,找到注册表中相关的项,并删除。

实战病毒木马之三 :smss病毒处置报告

2.7      系统账户查询

这是一台超出服役的服务器,有必要查一下是否有系统后门账号。通过查询系统账户,发现两个可疑账户KlNagSvc和qli,跟USB管控软件的厂家工程师确认,该软件部署过程中没有在系统中新建专用账号。经查KlNagSvc为防病毒软件建立的账号,可排除,而另一个账户很可能是攻击者留下的后门账号,直接将其删除。

实战病毒木马之三 :smss病毒处置报告

2.8      异常观察

重启服务器后,第二天未再现异常行为,USB管控服务正常运行,自此,本次手动查杀木马圆满结束。

相关推荐: windows 安全之文件共享安全风险

1、 背景 为了提前发现集团内网的Windows文件共享服务的安全风险,避免不必要的损失和数据泄露,采用技术手段对整个集团内网(10.1.0.0/16)的电脑进行安全检测,发现存在的问题。 2、 工具 本次使用网络扫描工具netscan,如需该工具,可以自行百…

本文为转载文章,源自互联网,由网络整理整理编辑,转载请注明出处:https://www.hacksafe.net/articles/system/5420.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注