cyc0n 博客终端安全应急响应
type
status
date
slug
summary
tags
category
icon
password
这几天在公司实习上班,leader给了微步的TDP系统监测公司员工电脑终端是否出了问题,顺带把中毒的电脑处理一下,也算是应急响应了
📝 过程
首先当员工电脑被入侵或者访问一些蠕虫/木马反连地址时(目前只处理了这两个),TDP(微步威胁感知平台)就会有告警
之后便是对入侵结果进行排查了,昨天是有两个主要告警,分别是“黑猫”和“Xred蠕虫”,下面来详细讲讲如何判断和处理
黑猫
🔍 判断是否误报
先介绍一下黑猫吧
"黑猫"是2025年活跃的黑灰产团伙,主要通过搜索引擎优化手段传播捆绑远控木马的恶意软件。该团伙将钓鱼网站推至搜索结果前列,甚至诱导搜索引擎错误标注"官方"标签,利用用户对高排名网站的信任进行攻击。当用户搜索常用软件时,会访问这些伪造的钓鱼网站并下载带有后门的安装程序,一旦运行,设备就会被植入远程控制木马,导致个人文件、聊天记录等信息被窃取,摄像头可能被非法开启,设备还可能被用于违规活动。 "黑猫"团伙的攻击手法极具隐蔽性和欺骗性,他们通过技术手段操控搜索引擎排名,使用与正版软件官网高度相似的域名,甚至直接复制官方网站页面内容,仅修改下载链接为恶意程序。这种攻击方式在2025年6-7月期间导致我国境内约2.88万台主机被控,日上线肉鸡数量最高达2328台,严重威胁个人隐私和财产安全。
看到被标记“黑猫”失陷的主机,关联实体是cn-notepadplusplus.com
看到这里我就知道肯定是下载了盗版软件,然后电脑中毒了
查看详细信息,该主机在访问量notepad仿冒网站后在几个cdn站点下载了notepad程序,之后便不断的向某个固定IP(223.26.63.103:2869)尝试连接,该IP及端口即“黑猫团伙”的C2服务器
之后在https://site.ip138.com/223.26.63.103/查询该IP绑定的域名
几乎全部都是公网公布的恶意域名,微步情报社区
所以现在可以判断该主机已经被入侵
🔍 排查过程
之后就是向leader汇报,然后他用终端查询系统确定了某个部门的某个员工,然后就是取电脑(该电脑据说是外包使用,但是员工授予了飞连[VPN]账号)
确认主机已被入侵后,开始进行排查:
首先看一下浏览器下载记录,因为上述说到终端访问了notepad的盗版网站,果然是下载了notepad
接下来leader说在失陷终端上安装onesec-agent,可以对终端进行检测
onesec报了E0BW5bSM.exe,进程号为17988,在notepad安装文件夹里的pluginrelease里运行
顺便学习了一点windows进程排查命令
用户在启动notepad.exe主程序时会同时执行E0BW5bSM.exe程序,之后该恶意程序创建另一名称为notepad.exe的伪装合法进程,之后不断的对223.26.63.103:2869进行反连
🛠️ 处理方案
确认感染后,采取以下处理措施:
- 隔离主机:立即断开该主机的网络连接,防止进一步的数据泄露和横向移动
- 结束恶意进程:结束以下进程E0BW5bSM.exe
- 删除恶意文件:
C:\Notepad++_3.2.3\pluginresrelease\E0BW5bSM.exe C:\Notepad++_3.2.3
4. 隔离对应的进程,以及外连地址
5. 重启电脑
📎 参考文章
上一篇
下一篇
MacOS应急响应排查
Loading...