记一次“本以为简简单单但发现有一丁点复杂”的安全分析事件

在我们使用态势感知等安全设备从事安全分析工作时间较长后总会产生思维惯性，从而会忘记了如何人工进行安全分析。有时给到客户的建议却解决不了实际问题，所以如何结合人工分析并掌握从而达成一次较为高效并且能解决实际问题的技能就显得尤为重要。

情况简介

2021年某日某时，正吃完午饭的我，揉着眼睛打开态势感知平台准备日常划水，突然一个告警引起了我的注意，于是我“啪”的一下，很快啊，赶紧把相关告警进行溯源排查，一个小时后就生成了一份像模像样的安全分析告警溯源报告，立即联系相关单位做下发，同样的在我正慢慢悠悠吃晚饭的时候，突然被拉进了一个微信群，主机管理员告诉我病毒查杀不出来需要我的协助，我就纳闷了，杀个毒有那么难吗？还得我亲自出马，后来我才发现事情没有我想象的那么简单……

安全分析

1. 2021年某月某日下午，态势感知平台告警情况如下，某单位主机疑似感染LifeCalendarWorm挖矿蠕虫

2. 进行溯源分析发现源IP：10.x.x.x每隔10分钟连接一次恶意域名，恶意域名已在微步威胁情报库进行查询威胁有效，以下为举个“栗子”：

3. 分析完毕基本确认该主机感染挖矿病毒，迅速出具安全事件溯源报告，下发给对应单位做处置操作安全建议如下：

人工分析

当我在下发完分析报告后高枕无忧的吃晚饭的时候，此时突然“啪”的一下，很快奥，我没有闪，被拉到了一个微信群，里面负责该主机的工程师说病毒查杀不出来。

我：杀的出来。

他：杀不出来。

我：杀的出来。

他：杀不出来。

我：你换个杀毒软件，企业版的用起来

他：换了三个了

我：.……

此时，我心中一万匹草泥马飞奔而过，你这是在质疑我这练习时长两年半的老师傅，我现在就实地给你表演一个，“鸡你太….”不，上机杀毒从入门到精通

1. 排查cpu及内存运行情况，cpu及内存运行正常，未发现进程大量占用cpu运行：

2. 内存使用情况正常

3. netstat -ano查看本机对外连接情况，未发现连接恶意ip情况：

4. 排查用户情况在win+r中输入msc发现该机器为域控制器

5. 使用net user排查用户情况，发现多个用户，该机器为域控制器，属于正常现象

6. 排查计划任务情况，跟管理员进行确认未发现异常计划任务

7. 在任务管理器网络连接进行查看发现dns.exe进程中存在态势感知平台报送IP

初步分析结论：

并非该主机感染病毒木马，该主机疑似为域控服务器包含dns服务，存在其他域内子主机通过该主机进行dns解析，所以造成了态势感知平台告警源ip为该主机，实际情况为域内子主机感染病毒。

追查受害者

大意了啊，告警平台他欺负我这22岁老同志，原来由于探针部署位置在核心交换机，导致未追踪到真实受害者机器，没事，反正排查出来就让他们去给下面的机器做杀毒吧，但这时客户又要求追查出真实中毒机器，哎呀，难道我的闪用完了吗，顿时恶向胆边生，手里不由点开了word打上了五个大字，辞职申请书。但一想到那还在远方等着我发工资带她吃饭嗷嗷待哺的女朋友，不由的退缩了，“打工人，打工魂，打工人都是人上人，干就完了。奥利给”！！！

1.抓包神器wireshark：要想分析网络会话肯定得使用wireshark在该主机进行安装，此时，出乎意料的事情发生了，winpcap安装到一半机器卡住了，完全不能动了，这是业务主机啊，旁边工程师看到了。

旁边工程师：“说哎呀G工啊，准备下岗吧”

我：“……”

2. 联系主机管理员进行重启，还好没啥事

3. 下载便携版wireshark，根据病毒外连域名时间规律进行抓包，抓到真实受害主机

4. 告知主机管理员受害者IP进行杀毒，事件解决！！！

总结

这年分析工作太依赖于安全设备告警，忽略了老手艺，之后多上机处置，把wireshark再玩的6一些，此次处置过程中发现了很多新亮点，新技能。还好有万能的百度，之后多做一些人工分析工作，找找感觉，还有业务机器如果是虚拟机最好让管理员在我们上手前做快照，物理主机则让他们安装相应的软件，切莫自行上手！