听说过大名鼎鼎的“永恒之蓝”和Wannacry勒索软件吗？其实他们一点都不遥远，就潜伏在我们周围。本文记录了一次针对内网主机感染相关木马病毒的应急响应流程，从分析思路和排查方法的角度对从发现到定位再到清除的过程进行了介绍。

详述

最近替我司某部门的主机做了一次恶意软件排查，分享一下整个分析过程和思路。

首先最初的告警来自IPS日志，10.10.X.X出现大量内网445端口扫描，从遍历的目的IP来看绝对属于异常行为，流量特征符合内网漫游。

初步判断，源主机上某个程序（大概率为malware）正在进行内网445端口扫描，寻找存在漏洞的主机进行感染。既然通过流量数据包的内容看不出太多名堂，那么我们就登陆主机排查一下（当然要经过业务方同意啦）。

登陆主机后先看看网络连接，是哪些程序在向外扫描445端口。Netstat后发现本机大量随机端口与连续IP地址的半开连接。主要是两个程序发起的这些连接：spoolsv.exe和mssecsvc.exe。mssecsvc.exe是去年WannaCry勒索软件爆发时生成的典型文件名称，而spoolsv.exe是Windows操作系统用于管理打印机池的程序。但是，为什么一个打印机管理程序会逐台扫描内网主机呢，此处有诈！

那么我们就看看任务管理器，mssecsvc.exe就不用说了，但是spoolsv.exe却有两个！原来是李逵与李鬼。那么哪个是真的呢？去查资料，得知真正的spoolsv.exe的路径应该在C: \WINDOWS\system32下面，那么PID为154352的进程明显就是仿冒系统进程的木马进程了（其实从PID的数值大致可以判断真伪，但是不能心存侥幸）。

既然找到了木马进程，kill掉他们就是了，然后去删文件。然而，mssecsvc.exe进程是杀掉了，但是spoolsv.exe杀掉后换了个PID马甲又出现了。看来应该是有守护进程重新开启了这个程序文件。

4.所以，杀不掉的进程怎么办？？这个时候用到了一个叫PChunter的工具，它能够对进程列表中的进程进行签名校验，黑色为系统进程，蓝色为签名验证通过的进程，粉色为签名验证未通过也就是存在问题的进程。我们可以看到spoolsv.exe就是粉色的，于是我们用PChunter来结束进程并删除文件。但是！！还是没有用！！！文件删除后又出现了，也就是说这个守护进程不仅会重新打开并且还会重新创建程序文件。

5.既然spoolsv.exe本身被删掉还会重新生成，那我们就去找生成这个文件的进程，也就是它的父进程，PID为23428的svchost.exe。当我把这个父进程kill掉后再去解决spoolsv.exe，果然spoolsv.exe没有再重新出现。

这个时候木马算是基本清除了，收尾工作包括检查一下启动项、服务和计划任务，把木马进程相关的项目清理一下。最后再次查看网络连接，瞬间清爽许多。

收工~~ 等等，这就完了吗？并没有！一次完整的应急响应还包含了经验总结和持续监控。于是，我把整个分析过程记录在了我们的日常安全事件报告中，并在两天后再一次登录该主机查看相关进程，确保恶意软件不会死灰复燃。

后记

如果有额外的精力和能力，还可以把恶意软件的样本放到沙盒里进行调试，分析它的行为。常用的Windows恶意软件调试工具有：

IDA Pro
- Windows 反汇编和调试器，有免费评估版
OllyDbg
- Windows 可执行程序汇编级调试器
Process Explorer
- 高级 Windows 任务管理器
Process Monitor
- Windows 下高级程序监控工具

作者介绍：
张洪洋，专注于安全运营、应急响应、网络攻防方向，本科毕业于北京邮电大学，休斯顿大学全额奖学金研究生。曾供职于毕马威美国、安全公司Alert Logic，2017年归国加入贝壳找房任高级安全工程师。

本文转载自公众号贝壳产品技术（ID：gh_9afeb423f390）。

原文链接：

https://mp.weixin.qq.com/s/Tl1u8_XnkfEoDLbSrc89IQ

创作场景

记一次内网主机感染木马的应急响应