New Chat
Ctrl
K
Kimi Code 3x Boost
Chat History
Mobile App

行为日志分析

有个行为日志,帮助分析: 2015-10-12 20:38:18 c:\windows\explorer.exe 创建新进程 c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe 允许 [应用程序]* 命令行: "C:\Documents and Settings\【用户名】\桌面\1\f-secure\你要的东西.exe" 2015-10-12 20:38:19 c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe 创建新进程 c:\windows\explorer.exe 允许 [应用程序]* 命令行: explorer.exe /e,/select,mm\说明.lnk 2015-10-12 20:38:29 c:\windows\explorer.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序]* 命令行: "C:\WINDOWS\system32\cmd.exe" /C "@echo off & mm.bat" 2015-10-12 20:38:38 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序]* 命令行: C:\WINDOWS\system32\cmd.exe /c reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup 2015-10-12 20:38:42 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\reg.exe 允许 [应用程序]* 命令行: reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup 2015-10-12 20:38:46 c:\windows\system32\cmd.exe 创建新进程 c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe 允许 [应用程序]* 命令行: mm.exe x -y -p  mm.rar "C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\" 2015-10-12 20:38:54 c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe 修改文件 C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\LMIns.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe 2015-10-12 20:38:57 c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe 修改文件 C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\2345.url 允许 2015-10-12 20:39:01 c:\windows\system32\cmd.exe 创建新进程 c:\windows\system32\shutdown.exe 阻止 [应用程序]* 命令行: Shutdown.exe -r -f -t 0 2015-10-12 20:40:40 c:\documents and settings\【用户名】\桌面\lmins.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys32.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe 2015-10-12 20:40:42 c:\documents and settings\【用户名】\桌面\lmins.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys64.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe 2015-10-12 20:40:51 c:\documents and settings\【用户名】\桌面\lmins.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\batfile~.bat 允许 [文件组]所有执行文件 -> [文件]*; *.bat 2015-10-12 20:40:59 c:\documents and settings\【用户名】\桌面\lmins.exe 创建新进程 c:\windows\system32\cmd.exe 允许 [应用程序]* 命令行: cmd /c ""C:\DOCUME~1\【用户名】\LOCALS~1\Temp\batfile~.bat" " 2015-10-12 20:41:05 c:\windows\system32\cmd.exe 创建新进程 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 允许 [应用程序]* 命令行: "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins 2015-10-12 20:41:10 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 创建文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\~tmp_hl\mslmedia.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys 2015-10-12 20:41:15 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 创建文件 C:\WINDOWS\system32\DRIVERS\Mslmedia.sys 允许 [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys 2015-10-12 20:41:17 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 安装驱动程序或服务 system32\DRIVERS\Mslmedia.sys 允许 [应用程序]* 2015-10-12 20:41:25 c:\windows\system32\services.exe 创建注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Winsock; HelperDllName 2015-10-12 20:41:28 c:\windows\system32\services.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia\Start 允许 值: 0x00000001(1) 2015-10-12 20:41:32 c:\windows\system32\services.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia\ImagePath 允许 [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\* 值: system32\DRIVERS\Mslmedia.sys 2015-10-12 20:41:37 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 修改注册表值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList\FSFilter Activity Monitor 允许 [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList 值: 04 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 04 00 00 00 2015-10-12 20:41:39 c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\~tmp_hl\mslmedia.sys 允许 [文件组]所有执行文件 -> [文件]*; *.sys 2015-10-12 20:41:51 c:\windows\system32\services.exe 加载驱动程序 c:\windows\system32\drivers\mslmedia.sys 允许 [应用程序]c:\windows\system32\services.exe 2015-10-12 20:41:53 c:\windows\system32\cmd.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys32.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe 2015-10-12 20:41:55 c:\windows\system32\cmd.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys64.exe 允许 [文件组]所有执行文件 -> [文件]*; *.exe 2015-10-12 20:41:57 c:\windows\system32\cmd.exe 删除文件 C:\Documents and Settings\【用户名】\Local Settings\Temp\batfile~.bat 允许 [文件组]所有执行文件 -> [文件]*; *.bat 2015-10-12 20:43:37 c:\windows\system32\svchost.exe 从其他进程复制句柄 (2) c:\windows\explorer.exe 允许 [应用程序]c:\windows\system32\svchost.exe 句柄: (File) \Device\Afd\Endpoint 2015-10-12 20:43:42 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31382] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口] 2015-10-12 20:43:45 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31381] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口] 2015-10-12 20:44:06 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31379] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口] 2015-10-12 20:44:12 c:\windows\explorer.exe 访问网络 UDP [本机 : 1051] -> [120.25.144.64 : 31380] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口] 2015-10-12 20:44:19 c:\windows\explorer.exe 访问网络 TCP [本机 : 1052] -> [120.25.112.8 : 80 (http)] 允许 [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口] 下面的内容可能是因为我长时间不动,自动执行碎片整理的计划: 2015-10-12 20:47:35 c:\windows\system32\services.exe 向其他进程发送消息 c:\windows\system32\csrss.exe 允许 [应用程序]c:\windows\system32\services.exe 消息: WM_DEVICECHANGE2015-10-12 21:25:53 c:\windows\system32\winlogon.exe 创建新进程 c:\windows\system32\logon.scr 允许 [应用程序]* 命令行: C:\WINDOWS\System32\logon.scr /s2015-10-12 21:25:53 c:\windows\system32\svchost.exe 创建新进程 c:\windows\system32\defrag.exe 允许 [应用程序]* 命令行: "C:\WINDOWS\system32\defrag.exe" -p 438 -s 00000B14 -b C:2015-10-12 21:25:54 c:\windows\system32\winlogon.exe 修改其他进程 c:\windows\system32\logon.scr 允许 [应用程序]c:\windows\system32\winlogon.exe 2015-10-12 21:26:00 c:\windows\system32\defrag.exe 创建文件 C:\DFR8.tmp 允许 [文件]?:\ 2015-10-12 21:26:00 c:\windows\system32\defrag.exe 删除文件 C:\DFR8.tmp 允许 [文件]?:\ 2015-10-12 21:26:01 c:\windows\system32\defrag.exe 从其他进程复制句柄 c:\windows\system32\svchost.exe 允许 [应用程序]* 句柄: (Event) 0x00000B142015-10-12 21:26:01 c:\windows\system32\svchost.exe 创建新进程 c:\windows\system32\dfrgntfs.exe 允许 [应用程序]* 命令行: DfrgNtfs.exe -Embedding2015-10-12 21:26:04 c:\windows\system32\dfrgntfs.exe 底层磁盘读操作 (2) \Device\HarddiskVolume1 允许 [应用程序]*
创建并加载 Mslmedia 驱动
这是一份典型的Windows系统下的安全软件(可能是HIPS/行为监控软件)产生的日志。用户希望我分析这份日志,判断是否存在恶意行为。
让我逐行分析这份日志:
第一阶段:初始执行(20:38:18 - 20:39:01)
  1. c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe 被创建执行 - 这是一个可疑的路径和文件名("你要的东西.exe"是中文,看起来像是社会工程学的命名)
  2. 该程序创建了一个explorer.exe进程,参数是 /e,/select,mm\说明.lnk - 这可能是为了打开文件夹显示内容
  3. explorer.exe创建了cmd.exe执行 mm.bat
  4. cmd.exe执行了注册表查询,查询Startup文件夹路径
  5. 然后执行了 mm.exe x -y -p  mm.rar "C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\" - 这是在解压文件到启动文件夹
  6. mm.exe在启动文件夹创建了 LMIns.exe 和 2345.url
  7. 最后尝试执行 shutdown.exe -r -f -t 0 被阻止 - 这是强制重启,但被阻止了
第二阶段:LMIns.exe执行(20:40:40 - 20:41:57) 8. lmins.exe 在桌面被执行(可能是用户手动执行的,或者之前的操作复制的) 9. 创建了 hlsys32.exe, hlsys64.exe 和 batfile~.bat 在Temp目录 10. 执行了bat文件,然后执行了 hlsys32.exe /ins 11. hlsys32.exe创建了驱动文件 mslmedia.sys 在Temp和System32\drivers目录 12. 安装了驱动程序Mslmedia 13. 创建了注册表项 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia - 这是一个系统服务 14. 修改了Start值为1(自动启动) 15. 修改了ImagePath为system32\DRIVERS\Mslmedia.sys 16. 修改了GroupOrderList 17. 删除了临时文件并加载了驱动
第三阶段:网络活动(20:43:37 - 20:44:19) 18. svchost.exe从explorer.exe复制句柄 19. explorer.exe访问了外网IP 120.25.144.64的多个端口(31382, 31381, 31379, 31380)使用UDP 20. explorer.exe访问了120.25.112.8:80 (HTTP)使用TCP
第四阶段:系统维护(20:47:35之后) 21. 碎片整理等系统正常活动
分析结论: 这是一个典型的恶意软件(可能是木马或后门)安装过程:
  1. 初始投递:通过"你要的东西.exe"(社会工程学命名)执行
  2. 持久化:将LMIns.exe解压到启动文件夹,确保重启后执行
  3. 驱动级隐藏:安装mslmedia.sys驱动,这很可能是rootkit或类似技术,用于隐藏自身或控制系统
  4. 网络通信:与远程服务器(120.25.144.64和120.25.112.8,看起来是阿里云IP)建立UDP和TCP连接,可能是C2通信
  5. 清理痕迹:删除临时文件
特征:
  • 使用了F-Secure的目录名进行伪装(伪装成安全软件)
  • 使用了驱动程序进行深度植入
  • 使用了启动文件夹实现持久化
  • 网络通信使用了非标准端口(31379-31382)
这是一个比较专业的恶意软件行为,涉及驱动级组件(可能是rootkit)。
我应该给出一个结构化的分析,包括时间线、行为分析和建议。
这是一份典型的恶意软件安装与执行日志,显示出完整的木马/后门植入链条。以下是详细分析:

🚨 威胁等级:高危

这份日志记录了一个具备驱动级权限的恶意软件(疑似Rootkit)从投递到驻留的完整过程。

一、攻击时间线重构

第一阶段:初始投递与诱饵执行(20:38:18 - 20:39:01)

Table
Copy
时间行为分析
20:38:18执行 你要的东西.exe社会工程学诱饵:使用中文诱惑性文件名,存放在伪装成F-Secure的目录下(冒充安全软件厂商)
20:38:19启动Explorer打开mm\说明.lnk可能是展示诱饵文档分散用户注意力
20:38:29执行mm.bat批处理启动命令行脚本
20:38:42查询注册表Startup路径侦查行为:获取系统启动文件夹路径,为持久化做准备
20:38:46执行mm.exe解压操作将mm.rar解压到启动文件夹(「开始」菜单\程序\启动\)
20:38:54释放LMIns.exe到启动文件夹持久化:确保系统重启后自动执行
20:38:57释放2345.url可能是诱导点击的快捷方式或广告链接
20:39:01尝试强制重启(被阻止)shutdown -r -f -t 0 被安全软件拦截,否则系统会立即重启完成安装

第二阶段:主程序执行与驱动植入(20:40:40 - 20:41:57)

Table
Copy
时间行为分析
20:40:40执行桌面上的lmins.exe用户可能手动执行了启动文件夹中的程序,或之前被复制到桌面
20:40:42释放hlsys32.exe/hlsys64.exe根据系统位数选择执行的安装程序
20:41:05执行hlsys32.exe /ins带/ins参数执行,表明是安装模式
20:41:15释放驱动Mslmedia.sys关键:将驱动文件写入System32\DRIVERS\,这是Rootkit典型特征
20:41:17安装驱动服务注册系统服务
20:41:25创建服务注册表项Mslmedia注册为系统服务Mslmedia
20:41:28设置启动类型为0x00000001设置为系统自动启动(Service Auto-Start)
20:41:32配置镜像路径指向system32\DRIVERS\Mslmedia.sys
20:41:37修改FSFilter Activity Monitor组Rootkit特征:修改文件系统过滤驱动组顺序,可能用于监控或拦截文件操作
20:41:51加载驱动mslmedia.sys驱动已加载,获得内核级权限
20:41:53删除临时文件清理痕迹:删除hlsys32.exe等临时文件

第三阶段:网络回连(20:43:37 - 20:44:19)

plain
Copy
UDP [本机:1051] -> 120.25.144.64:[31382/31381/31379/31380]
TCP [本机:1052] -> 120.25.112.8:80
  • C2通信:连接阿里云IP(120.25.x.x为阿里云杭州节点)
  • 非标准端口:使用31379-31382高端口进行UDP通信,规避常规防火墙检测
  • HTTP伪装:TCP 80端口连接可能用于伪装正常HTTP流量或下载后续Payload

二、恶意行为特征识别

1. 多层级持久化机制

  • ✅ 启动文件夹(LMIns.exe)- 用户层
  • ✅ 系统服务(Mslmedia.sys)- 内核层
  • ✅ 驱动自动加载 - 底层

2. Rootkit/驱动级技术

  • Mslmedia.sys 是典型的内核模式驱动
  • 修改FSFilter Activity Monitor组顺序表明其试图拦截文件系统操作(可能用于隐藏文件或实时监控)
  • 服务名Mslmedia伪装成媒体相关服务(可能是"Media SL"的缩写)

3. 反取证与痕迹清理

  • 使用~tmp_hl等临时目录
  • 执行后删除hlsys32.exe、batfile~.bat等中间文件
  • 使用RAR压缩包投递减少特征暴露

4. 社会工程学伪装

  • 目录名f-secure:冒充芬兰安全厂商F-Secure
  • 文件名你要的东西.exe:中文语境下的诱惑性命名
  • 同时投放2345.url:可能模仿国内2345软件站风格

三、影响评估与处置建议

已造成的危害

  1. 内核级感染:mslmedia.sys已加载到系统内核,拥有最高权限
  2. 后门驻留:系统重启后LMIns.exe会自动执行,重新连接C2服务器
  3. 网络暴露:已向外网IP发送数据,可能已泄露主机信息

立即处置措施

  1. 断网:立即断开网络连接,阻止C2通信
  2. 禁止重启:不要重启电脑,否则驱动会重新加载
  3. 专杀工具:使用具备反Rootkit能力的安全软件(如360系统急救箱、卡巴斯基TDSSKiller)
  4. 手动清理(高级用户):
    • 删除启动文件夹中的LMIns.exe和2345.url
    • 使用sc delete Mslmedia删除服务
    • 删除C:\WINDOWS\system32\DRIVERS\Mslmedia.sys(需在PE系统或恢复模式下)
    • 清理注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia

后续加固

  • 检查同一目录下的你要的东西.exe来源,可能是通过U盘、邮件或即时通讯工具传播
  • 由于日志显示为2015年的Windows XP/2003系统(Documents and Settings路径),建议升级操作系统,旧版Windows缺乏现代安全防护机制
总结:这是一起典型的驱动级木马(Rootkit)感染事件,攻击者通过社会工程学诱导执行,建立了从用户层到内核层的完整驻留体系,并具备远程控制能力。