瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 疑似Blackball
AK2019 - 2021-6-30 7:23:00
实际上机排查的东西,导出的异常计划任务。火绒直接杀了,365没杀,是不是应该杀了?

根据微步情报找到的相关样本分析:https://guanjia.qq.com/news/n1/2571.html

用户系统信息:Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:89.0) Gecko/20100101 Firefox/89.0

附件: 2021.6.30 1rKOeWSdjqh.zip
XywCloud - 2021-6-30 9:16:00
这个我们叫DTLMiner(其他厂商你可能知道叫什么“永恒之蓝下载器”【腾讯是这么叫的,后面还衍生出了什么bluetea、blackball,那个只是病毒留下的计划任务名字而已】、LemonDuck【火绒是这么叫的,根据这个得知火绒少捕获了很多个版本】、Beapy【赛门铁克是这么叫的,后面也跟着火绒叫LemonDuck了,看来他们没有意识到这两个实际上是同一个东西】),并且我们持续保持跟踪。我们掌握的DTLMiner的版本应该是全世界厂商里最多的(这个可能真不是吹牛)
我们对于DTLMiner的文件检测仅检测真正落地的文件,对于计划任务之类的,在运行时会被拦截。
一旦触发拦截,则会进入进一步的清理流程(企业版限定【云终端、ESM3、ESM365】,个人版无相关处理模块,但可以拦截)。
清理之后你就应该只会在计划任务里看到一个名为blackball的计划任务了,这个计划任务无害,我也不建议删掉。

P.S. 如果你感染的是昨天下午6点的版本,那么你电脑里清理之后留下的计划任务叫“blackbell”【是不是腾讯又要写一篇新稿说blackball升级为blackbell了呢,让我们拭目以待】
XywCloud - 2021-6-30 9:20:00
另外,根据计划任务里的信息,这台机器应该是2020年9月24日被感染的,感染方式为永恒之蓝漏洞利用。
AK2019 - 2021-6-30 10:06:00
那对于已经感染的系统,计划任务不删掉吗?不删的话那不是过段时间又开始下载了?
我这台机器重启前IDS检测发现有非法外联,重启后就暂时没了,火绒一扫只有计划任务,那瑞星要是不杀的话,问题也不算彻底解决吧?(火绒扫出9个威胁,3个sched://,3个wmicmdln://,还有下图,保存出来了下图这部分,ESM365未扫出结果)

话说wmicmdln://是个什么东西…


 附件: 您所在的用户组无法下载或查看附件
XywCloud - 2021-6-30 10:23:00
DTLMiner较新的版本里会同时在计划任务和WMI里进行驻留
计划任务会启动powershell,在启动的时候就会被ESM拦截(也就是扫描扫不出东西,都在运行时拦截)
我们的拦截时间点和处理时间点和其他厂商都不一样
触发清理流程的时候我们会同时清理电脑上的恶意文件、恶意服务、恶意计划任务和恶意WMI项,而不是其他厂商那样扫出来啥就清啥
为了确保拦截和清理,请确保设置里的“线程命令行扫描”和“强力查杀”已经开启

此外,这台机器应该是win7系统吧,赶紧打补丁改弱密码吧,不然那就只能快进到重复感染咯
XywCloud - 2021-6-30 10:28:00
如果病毒处于运行状态(电脑里跑着带奇怪命令行的powershell),但是开启“线程命令行扫描”和“强力查杀”的ESM365却在快速扫描期间无任何反应,那就是产品出问题了,估计到时候就是需要产品那边远程排查对应机器了。
AK2019 - 2021-7-1 11:21:00
那个机器我还没装esm试,因为是别人的不能随便搞
ESM扫描不扫启动项和计划任务吗?我就是把他们都拷出来了,365是不杀的,这个明知道是有问题的计划任务也不做处理,只有本地触发了才处理吗?如果不开文件监控,那不就可能漏掉了
XywCloud - 2021-7-1 11:37:00
1.产品目前的确不支持单独扫描启动项、计划任务这种非文件形式存在的东西(但并不是说所有非文件形式存在的东西都不支持)
2.很多时候你单扫出来这些有问题的东西然后仅仅只是删掉它很可能并不能把病毒清理干净,所以我们这边的方案是选定一个触发点,一旦触发后就执行对特定病毒的所有关联对象的清理
这个触发点可能是一个文件,也可能是一次进程启动,亦或是其他的东西
对于DTLMiner,我们选择的触发点主要是进程启动,文件的话其实挺难触发的(DTLMiner算是一个无文件挖矿木马)
3.不开文件监控你装杀软有何用?事后清理还不如事前检测和拦截呢
4.题外话。不打补丁不改弱密码的机器,装什么杀软都没用。病毒和攻击者可以大摇大摆地以各种方式入侵系统,人工入侵之后还可以先把你电脑上的安全产品用ARK工具干掉,干掉之后再来整活(比如投放勒索软件。我们这边已经接到过不少案例了,一个个都是RDP弱口令,服务器上的安全产品全部成为摆设,不管是哪家的产品)
1
查看完整版本: 疑似Blackball