通过时间点去溯源分析攻击者的篡改痕迹

       我们直接看,5月10号的往上看一直看,看见没有?其他的还有什么wiMSEC这些都是什么?这些都是攻击者执行的一个时间,就执行的时候才会去存在的。所以说经排查攻击者在5月19号和5月20号执行了一些可执行程序。这个这个结论是这么得出来的。没有这些。好,接下来我们还要去排查什么?排查程序的执行日志,是在这个事件查看器里面的7分45的这一个什么?这个事件ID我们也可以去查看,好我们去看这里这个图不太清晰,给大家放大一下。

好,我们根据它的落地时间进行一个推演,就一直推一直看7045是不是?你看7045在时间段里面的话,就这一个,我们看到没有?来源记录时间。当然了,这个是就是在原先的报告上面,它是看不清的,但是我这里是用自己的电脑,好,我们可以看到一个记录时间以及什么,以及用户的一个信息和计算机的信息,这是什么?这是服务名。我再放大点,看到没有?这是什么?这是服务名称。

Execute bat最后去执行了这一个,然后服务的类型是用户启动模式按需启动,这个就是我们得到的一些相关信息,但是我们去查那个样本已经删除了样本,已经删除了,服务名是什么?服务名是 beauty Beauty ahhhhh beauty beauty。好,这个命令我们去通过搜索之后,我们就知道了,这个bat文件它虽然删除了,但是我们要知道,他实现了这个东西以后。到底是做了什么样的事情。我们在这里看到这个很明显的,我们通过在公网上进行一个搜索,我们得到了一个相应的结果。

这里我给大家看一下,你去哪了?这里,好,那这个bat我们通过去搜索这些相关的字样之后,我们在公网上,得到了这是一个攻击手法,是绕过CV120191040基于域控委派的一个攻击手法,那功能和危害就是可以导出域管理员的哈希值,也就是可以获取到域管理员的一个凭证,简单来说就是可以就是已经获得了域管理员一个账号,那么它可以通过这个账号去进行登录,然后再进行横向攻击。好,那么现在,我们回去我们最开始的时候,再往后我们还定位到了什么?定位到了登录时间,因为攻击者往往有可能会登录,我们一样的要去查看一下。

分享: