查看: 8934|回复: 12
收起左侧

[软件分享] 分享一款效率型ARK工具(ATool)

[复制链接]
Dreamerxin
发表于 2023-12-10 20:07:23 | 显示全部楼层 |阅读模式
本帖最后由 Dreamerxin 于 2023-12-10 20:37 编辑

ATool是针对系统进行安全分析和反RootKit木马的工具,有Windows版本和信创系统版本。主要供网络管理员、勘察取证人员、计算机爱好者和专业用户使用。ATool对进程、服务、驱动、内核模块等执行对象和启动项、计划任务等环境配置进行相关枚举,并以清单的方式来呈现。通过本地库+云端对象信誉查询的方式对相关对象的安全信誉进行评价,从而“孤立”出威胁对象和值得提取分析的可疑对象。

这次推荐的是全新版本 ATool 3.5(免费版)

免费下载地址:点击免费下载 >>>https://vs2.antiy.cn

实战处置视频:点击立即观看 >>> 实战演示丨ATool快速清除典型蠕虫MyDoom

或拿出手机扫码观看

实战演示丨ATool快速清除典型蠕虫MyDoom 视频二维码

实战演示丨ATool快速清除典型蠕虫MyDoom 视频二维码



————————【案例相关信息】————————

在长期的日常安全事件监测过程中,安天CERT经常捕获到大量的MyDoom蠕虫样本和传播该蠕虫的钓鱼邮件。受害主机感染MyDoom后会被放置后门,以便攻击者下发后续恶意软件,进行攻击或窃密等操作。MyDoom蠕虫最早发现于2004年,至今仍然活跃,主要利用SMTP协议传播钓鱼邮件。研究人员通过分析发现,MyDoom蠕虫落地后会将自身的前三个区段名替换为随机生成的8个字母,并将其作为钓鱼邮件的附件再次发送,导致每次传播时样本的哈希值均不相同。

MyDoom蠕虫运行后会不断扫描主机文件,提取邮箱地址,随机获取样本中的邮件标题、发件人等信息,压缩后的MyDoom作为附件生成钓鱼邮件,使用SMTP协议不断发送钓鱼邮件。最后使用DGA(域名生成算法)生成上线域名,进行三次校验后,回传本地信息,并等待“DDoS攻击、下发恶意文件和可移动介质传播”等指令,期间会释放多个文件以及写入注册表,对于此种情况,可使用集成的ARK工具ATool进行快速处置。
关于恶意样本MyDoom

MyDoom传播:

1. 钓鱼邮件

安天CERT捕获到多封传播MyDoom蠕虫的钓鱼邮件,其附件内可执行文件为MyDoom蠕虫。邮件中包含具有迷惑性的标题和正文内容,例如:“网络汇款提示”、“生日祝福”、“更改账户密码通知”等,以诱导用户点击查看附件。部分钓鱼邮件如图所示:

钓鱼邮件内容.png

2. 攻击流程

MyDoom蠕虫通过钓鱼邮件进行传播,运行后会创建注册表启动项,复制自身到C:\Windows\system32\smnss.exe并启动。smnss.exe被启动后会调用线程不断从本地提取邮箱地址并发送钓鱼邮件,最后连接C2服务端等待下发指令,如DDoS攻击、下发恶意文件和可移动介质传播等操作。

攻击流程.png

3. 使用ATool进行清除

系统深度分析工具ATool是安天实验室在2006年开始发布更新的一款系统安全内核分析和RootKit检测工具,因Windows 10以后系统签名和启动认证的要求更为苛刻,很多原有免费ARK工具都不能在Windows 10等更新的系统下运行,所以近日安天更新发布了ATool V3.5免费版本,加强了对 Windows 10及Windows 11版本的支持,可在安天垂直响应平台下载,如下所示:

下载ATool.png

MyDoom释放文件、创建注册表较多,若使用任务管理器、资源管理器和注册表编辑器等Windows自带工具进行处置,则会导致频繁切换工具使得操作不便、效率低。当MyDoom蠕虫加载shervans.dll后会启动线程不断调用smnss.exe(病毒母体),所以清除时需要先关闭该进程。由于shervans.dll会启动线程开启3159端口,所以可以使用这个作为特征识别最初的样本,使用ATool可快速识别到开启该端口的进程并进行处置。

以x64位MyDoom为例:

1)端口管理中,暴力删除开启3159端口的进程,使用“删除文件”不能删除运行状态下的文件。

暴力删除开启3159端口的进程.png

2)进程管理中,结束并删除附件进程。

结束并删除恶意进程.png

3)自启动项中,删除自启动项ctfmen,暴力删除ctfmen.exe文件。

定位自启动项.png

定位到注册表,删除该项。

删除自启动项.png

4)文件管理中,删除SysWOW64下的释放文件,先点击修改时间进行排序,随后点击查找进行文件的定位,最后使用暴力删除文件将文件删除,除下图所示仍需删除shervans.dll、grcopy.dll。

删除MyDoom释放文件.png

5)注册表管理中,定位到注册表项后删除表项,除下图所示仍需删除,HKEY_LOCAL_MACHINE(或HKEY_CURRENT_USER)\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\vulnvol32\Version中的表项。

删除MyDoom写入的注册表项.png

防护建议

1)安装终端防护软件:安装反病毒软件;

2)加强口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3)部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源;

4)若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查。





评分

参与人数 1分享 +3 人气 +3 收起 理由
屁颠屁颠 + 3 + 3 版区有你更精彩: )

查看全部评分

天月来了
发表于 2023-12-13 08:37:14 | 显示全部楼层
本帖最后由 天月来了 于 2023-12-13 09:23 编辑

可惜没有做到对非微软的文件和项目进行分色显示

评分

参与人数 1人气 +2 收起 理由
396805331 + 2 赞同,没有高亮,眼睛都要看花了……

查看全部评分

396805331
发表于 2023-12-13 16:14:50 | 显示全部楼层
界面真心不太友好……
图标啥的真是不是特别必要。 Pchunter界面是纯文字的,但是感觉使用也很方便……
RainCloud9
发表于 2023-12-13 20:51:51 | 显示全部楼层
就是界面没有进程树真的难受。。。希望改进
kafan988
发表于 2024-1-4 11:47:59 | 显示全部楼层
这个软件一般般啊
企稳向好
发表于 2024-2-2 10:08:26 | 显示全部楼层
免费版是不是连不上云啊,我这里一直是网络异常,查询失败
gqdsc
发表于 2024-3-7 19:23:54 | 显示全部楼层
难得分享好软件
gid
发表于 2024-3-21 14:16:41 | 显示全部楼层
分析apk啊,好像很强
mimida667
发表于 2024-4-3 09:34:35 | 显示全部楼层
感谢分享
ccerp001
发表于 2024-4-7 22:03:13 | 显示全部楼层
感谢分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-31 01:50 , Processed in 0.136577 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表