信息安全工程师很多时候需要通过某个恶意域名来判断主机失陷情况。恶意域名特征比较明显的,比较容易通过威胁情报找到相关线索。例如fr.minexmr.com,通过威胁情查询,该恶意域名比较容易判断该主机感染WannaMine挖矿病毒。知道主机感染是什么恶意软件后,就比较容易找到解决方法。
但是威胁情报也不是万能的,威胁情报具有很强的时效性,“老的”威胁情报有可能出现谬误。而由于一些其他原因,我们可能只知道这个域名是恶意的,其他的什么也不知道,这就导致溯源和应急工作无法进一步开展。
这时,信息安全工程师需要通过恶意域名定位具体进程,找到恶意软件组件再做进一步判断。由于恶意软件访问恶意域名很难实时的溯源到,多数时候如果恶意软件不能访问到其C2服务器,就会保持静默状态,等待下一个周期进行访问尝试。这个周期有时几个小时或者1天不等,这又为溯源和应急响应工作制造了不小的困难。
本文提供两种通过恶意域名定位进程的方法。第一种是使用SYSMON监控程序,该方法需要部署,定位进程比较准确。第二种方法是使用两款windows电子取证工具,无需部署,但是监测时间视具体情况而定,准确性也需要实践检验。这里分享给大家,提供思路,大家结合实际情况运用。
Sysmon是微软的一款轻量级的系统监控工具,最开始是由Sysinternals开发的,后来Sysinternals被微软收购,现在属于Sysinternals系列工具。它通过系统服务和驱动程序实现记录进程创建、文件访问以及网络信息的记录,并把相关的信息写入并展示在windows的日志事件里。首先安装Sysmon 10,注意版本。
更新配置文件
DNS访问记录需要查看事件日志,Windows事件日志在计算机管理中
Sysmon具体路径为:应用程序和服务日志/Microsof /Windows/Sysmon/Operational
筛选日志,DNS查询事件号为22。利用筛选功能进行过滤。
再通过查找关键字符串进行定位。
得到访问域名和对应的进程。
DNSQuerySniffer是网络嗅探工具,显示DNS查询发送您的系统。每个DNS查询,显示以下信息:主机名,端口号,编号查询,请求类型(A,AAAA,NS,和MX,等等),请求响应时间,时间,时间,响应代码,数量的记录,并返回的DNS记录的内容。通过DNSQuerySniffer我们先确定访问恶意域名的端口号。这个工具的优点是可以将主机访问过的所有域名记录下来。
我们通过DNSQuerySniffer先确定访问恶意域名checkip.xxxx的端口号为51008。时间为2020年3月25日14:38:38左右。
接下来使用Process Monitor定位进程
由于Process Monitor会产生大量事件日志,要进行过滤。
再根据时间轴和端口进行进程定位,这样就找到了访问恶意域名的进程。
https://www.anquanke.com/post/id/180170
sysmon下载地址
https://live.sysinternals.com/sysmon.exe
sysmon配置文件下载地址
https://github.com/SwiftOnSecurity/sysmon-config
DNSQuerySniffer下载地址
https://www.nirsoft.net/utils/dns_query_sniffer.html
Process Monitor下载地址
https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
