劫持输入法新闻页面挂马导致客户机切输入法游戏掉线

2019-8-2 16:30| 发布者: next| 查看: 1929| 评论: 0|原作者: 顺网小哥

问题现象：客户机登录LOL游戏后进游戏玩着游戏闪退，重新登录无法登录，出现假的钓鱼窗口，如图：排查过程： 1、定位钓鱼窗口程序来源，操作方法为开机启动ProcessMonitor软件，最小化启动且没有对话窗口的参 ...

问题现象：客户机登录LOL游戏后进游戏玩着游戏闪退，重新登录无法登录，出现假的钓鱼窗口，如图：

排查过程：
1、定位钓鱼窗口程序来源，操作方法为开机启动ProcessMonitor软件，最小化启动且没有对话窗口的参数为/Minimized /AcceptEula /Quiet，例如：C:\ProcessMonitor.exe /Minimized /AcceptEula /Quiet。我推荐是创建一个快捷方式，然后把参数输入好了以后放启动位子，不要使用开机命令。因为启动太晚的话就没效果了。

2.抓到日志后，在ProcessMonitor工具界面选择工具——进程树，可以看到完整的客户机启动过程。进程树列表中Process为进程列表、Description是描述、Image Path是路径、Life Time在线时长、Company是公司信息、owner启动用户信息、command命令行、start time启动时间、end time结束时间。这里面我们需要看启动时间，来判断木马进程启动时间以及工具启动时间

3、核心截图如下，看到这里我们可以判定是SouhuNews.exe把木马带进来了，因为cscript.exe是vbs组件才需要用的到，通常一个正常程序如果需要创建子进程不会用这种方式运行。其次是创建出来很多进程利用的系统名称，这个属于常见的木马行为，俗称白加黑。例如rar.exe、svchost.exe

4.这里确认了是搜狗输入法的新闻程序SohuNews.exe程序带来的以后，还需要确认下为什么有这个操作。通常正规程序不会这样做，除非程序有后门被利用，还有就是新闻页面挂马触发了溢出形的远程执行漏洞。才能导致运行程序起来。这里就需要抓下http协议的网络包，看他访问了哪些页面。这里需要安装httpanalyer软件，安装好后点上方的start按钮。（这个软件必须启动的也很早才行，要不然抓不到。原因跟processmonitor一致）

5.抓好网络包后点击前面的+号按钮看下内容，首先一般正规公司的新闻界面程序都是一个web框架加一个url的方式，为了方便管理通常不会用某一个固定IP信息之类，而且url信息不会包含网页文件的后缀名。这是大忌！下图中抓到的网络包中有一个http://121.135.147.160/index.html肯定是有问题。