V2EX = way to explore
V2EX 是一个关于分享和探索的地方
Sign Up Now
For Existing Member Sign In
This topic created in 2207 days ago, the information mentioned may be changed or developed.
每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:
Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。
Supplement 1 · Apr 12, 2020
尝试把 chrome.exe 改成 cc.exe 再运行,就没有那些请求了,是外部有什么程序在监控 chrome.exe 进程吗?
查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
Supplement 2 · Apr 13, 2020
给大佬们汇报下蜜罐情况
1. 本机 www.2345.com host 指向 127.0.0.1
2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
3. access_log /home/wwwlogs/honeypot.log
手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。
巨大的疑问号
1. 本机 www.2345.com host 指向 127.0.0.1
2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
3. access_log /home/wwwlogs/honeypot.log
手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。
巨大的疑问号
Supplement 3 · Apr 13, 2020
已确认中招了,但这个流氓具体藏在哪里还没找到,现在又发现了以下几点:
1. 打开 ie 或 edge 也会触发
2. firefox 不会触发
3. firefox.exe 改名成 chrome.exe 运行会触发
1. 打开 ie 或 edge 也会触发
2. firefox 不会触发
3. firefox.exe 改名成 chrome.exe 运行会触发
Supplement 4 · Apr 13, 2020
把 firefox.exe 改成
MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
Supplement 5 · Apr 13, 2020
这些 dns 请求无视本机的 hosts,目前的情况看是针对 chrome 、ie 、和 edge 进行了监控
Supplement 6 · Apr 13, 2020
安全模式无法复现,正常启动可复现
Supplement 7 · Apr 13, 2020
用 Process Monitor 看所有的进程都是合法签名过的,没有可疑注入。
干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
Supplement 8 · Apr 13, 2020
补充一个复现的条件:
改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
超纲了超纲了,今天就这样了,有思路了再搞
改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
超纲了超纲了,今天就这样了,有思路了再搞
Supplement 9 · Apr 13, 2020
最新进展:
autoruns 把非微软家的服务 /启动项全关了
重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
autoruns 把非微软家的服务 /启动项全关了
重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
Supplement 10 · Apr 14, 2020
系统是 thinkpad t480s 原装的 win10 家庭版,开箱附带了一些联想的软件。
没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
 |
101
yulihao Apr 15, 2020
呀,进不去系统了啊......没看 APPEND
|
 |
102
hhacker OP |
|
103
hhacker OP append 数量满了,后续内容更新到回复里
|
|
104
hhacker OP 我是这样想的,既然安全模式是干净的,那现在肯定是有流氓在
|
|
105
hhacker OP 1. dns request from C:\WINDOWS\system32\svchost.exe -k NetworkService -p -s Dnscache
2. disable dnscache REG add "HKLM\SYSTEM\CurrentControlSet\services\Dnscache" /v Start /t REG_DWORD /d 4 /f 3. source to C:\WINDOWS\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService 4. NcbService (Network Connection Broker 允许 Windows 应用商店应用从 Internet 接收通知的代理连接。) ncbservice.dl 5. NcbService 依赖 连接设备平台服务(此服务用于连接设备平台方案) 6. 禁用 Network Connection Broker 服务 7. MsMpEng.exe ( Antimalware Service Executable )发出 dns 请求( C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2003.8-0\MsMpEng.exe ) 8. 关闭 windows defender ( reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f ) 9. C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Winmgmt(Windows Management Instrumentation) WMI 服务 10. wmi 相关文档 url https://www.freebuf.com/articles/system/187792.html 11. wmi 检测工具 https://www.slideshare.net/Hackerhurricane/detecting-wmi-exploitation-v11 _______________________ 以上是今天的进度,初步缩小范围至 wmi |
|
106
hhacker OP 没能找到任何 wmi 事件。。。。。
|
 |
107
sino1641 May 7, 2020
蹲一波后续
如果是 OEM 的锅可以跟联想服务反馈(?) |
 |
108
xmt328 May 13, 2021
这件事还有后续嘛
|
Select Language