记一次Emotet木马处理案例

0x00、前言 用户的安全意识相对薄弱，面对来历不明的链接和附件，容易被诱导从而遭受木马的入侵。在日常使用过程中，有时电脑中病毒后会遇到木马查杀不掉的情况，应该是如何处理呢？下面分享一个Emotet木马处理的案例，希望对你有所帮助。 0x01、案例说明 从流量侧监控到多个用户终端频繁发送邮件，涉及大量收件人与发件人并带有附件，疑似感染木马，用户手动杀软查杀无果。 0x02、原因分析 既然杀软无法处理，那就只能手工来分析排查了，依靠系统运维的经验，首先需要对当前的异常现象进行分析，重点关注进程、启动项、网络等的异常情况。 这里，我们使用火绒自带的安全分析工具--火绒剑，进行手工分析排查。 （1）进程分析 使用用户账号登录，对用户的所有进程进行一项项排查，查看可疑的进程及其子进程。通过排查我们可以发现，regsvr32.exe进程中存在异常加载的组件，无签名、无描述信息，临时文件路径。 （2）启动项分析 用户的登录启动项中，在这个列表中，我们看到存在两项异常的注册表登录启动项，而且文件路径还跟进程分析发现异常文件可以对应上，那么基本可以确认这个文件是有问题的。 （3）文件分析 将用户终端上获取到的恶意文件上传到微步云沙箱，通过威胁情报、静态和动态行为分析，发现恶意程序存在的异常。 样本一： 样本二： 在另一个终端获取的样本，就比较有意思了，发现反检测、反逆向、信息搜集等行为。 （4）处置建议 通过以上大致的分析，我们可以得到处置方案，使用用户账号进入用户登录环境，删除用户注册表下的异常启动项，然后删除用户临时文件路径下的异常文件，最后重启电脑就完事了。 0x03、防范措施 尽量避免打开来历不明的邮件、链接和附件，特别不要随意开启文档文件的宏功能。另外，对于个人用户来说，掌握一些安全工具和入侵排查的技巧，可以让你的电脑变得更安全。 文章来源：Bypass 黑白之道发布、转载的文章中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用，任何人不得将其用于非法用途及盈利等目的，否则后果自行承担！ 如侵权请私聊我们删文 END