《我协助破案的那些年》故事十一：财务电脑被莫名登录，是内鬼还是黑客入侵？

本故事纯属虚构，如有雷同，纯属巧合

过了年，我在茶馆打扫，我因为身体的原因，打扫的不是很利索。腿疼的总是干一会，停一会的。

搞毛提前回家到现在还没过来。说是回家过年相亲找对象。走的时候又是一脸不情愿的。我感觉他不是很想去，可能还想多混两年，摸两年鱼，又或者是单纯的不想去相亲。现在相亲了又没多少动静了。看来这个月只能我自己一个人先干着了。

刚好过了正月十五，我收拾好了茶馆开门营业。不知道今年会不会遇到什么有意思的事情，我还是很期待的，毕竟去年年终的时候流传了很多的有意思的漏洞POC，我想看看我能不能摸到几个1day看看。

开门营业的第二天，就有一个同行上门了。气喘吁吁的就过来了

“玄道大哥，江湖救急，我们公司的系统被黑了。”

“Azeng啊，你怎么了，气喘吁吁的”

我进屋给Azeng倒了杯开水，端了出来。顺便把板凳拿了出来。

“喝口水慢慢说啊，不要急，你们系统防护不是做的挺好的吗？怎么会被黑了”

“情况是这样的。我们财务在上班的内网登录了微信，然后她的微信应该是开了自动接收功能，接受到了一个文件，然后在内网群发了，得亏我们12点有异地的定时备份，要不然工作都不好开展。”

“你既然都恢复备份了，你干嘛来找我？”

“这不是按照流程来做溯源分析吗，快照我也打了，你看，这是U盘”

Azeng顺手就把U盘递给了我。我接了过去，顺口问道。

“你快照打完了做过什么分析吗？”

Azeng的气息平静了下来，喝了口水继续说到。

“目前我分析的情况是这样的，这个应该是一个通过微信传播的病毒，通过特定群聊关键字定向发送木马，然后群聊里面的其他人一旦开了自动接收功能就会下载下来，而杀毒软件对于下载下来的文件是会进行扫描的。应该是在扫描的时候激活了程序，加上程序本身有绕过杀毒软件规则的代码功能。一运行就会注册进程和注册表然后新建系统隐藏用户进行长期的权限维持。如果这个系统里面还登陆了微信，就会控制操作往登录的微信帐号的其他群聊里面发送病毒文件，然后重复操作进行扩散”

我听完Azeng说的。稍微理了理思路，这个传播模式不算很少见，但确实对没有任何安全意识的非技术人员很有效果，大部分人的微信安装过后并不会把他们的自动接收功能关闭，如果病毒写了个下载过后自动执行和自动注册进程表的代码，加上写病毒的人如果做一下免杀工作。那基本上可以直接控制受害人的电脑。

“U盘里面是什么？”

“病毒样本，快照环境都有”

我咂摸咂摸嘴

“咂，病毒分析我也不太会啊，我逆向分析是个二把刀啊，这样，你等会，我给你找个大佬”

我拿着U盘想了一下身边懂病毒分析的朋友。想了半天想起来一个人，裴琪。

裴琪是专门搞病毒分析、搞情报的安全研究员。原来在大厂的安全部工作，现在在回来了在本地的一个龙头企业做安全研究。水平很不错，老江湖了。

我掏出电话，打开微信电话，打给了裴琪。

“裴琪哥，忙不忙，我这有个病毒样本，你帮忙分析一下？”

“道哥，你这真是无事不登三宝殿，一打电话就有事。”

“裴琪哥啊，情况是这样的，我有个小兄弟呢，他系统被黑了，不过不是WEB端打进来的，是被人上了马瘫痪内网了上勒索了，我病毒分析是个二把刀，你专业的，你来帮忙看看。”

“行啊，道哥，刚好也不忙，你过来呗”

“那行，我马上带着小兄弟过去”

我抬头叫了一声

“Azeng，开车没有？”

“开了，我去停车场把车开过来”

我在我的测试手机上设置好了导航，Azeng把车开了过来，我坐在副驾上，拉上安全带，手机放在了中间吹风口的支架上。

“你顺着导航走就行”

在去找裴琪的路上，我给张sir发了个信息

“张sir，我这边一个小兄弟的公司系统被破坏了，上了勒索病毒，我们在分析，回头可能需要去你那边报案。”

大概10分钟以后张sir回了消息

“我最近在外地出差查案，刚好川sir调过来了，我让他跟你对接一下，到时候你直接找他就行”

“卧槽，那感情好，都是一块干过活的战友，对接起来更顺利点”

过了一个小时，我们到了裴琪哪里，在楼下的时候，裴琪发消息告诉我已经把逆向分析用的沙箱虚拟机准备好了。

我们上了楼，我把U盘丢给了裴琪。

“东西都在里面了，你悠着点”

“别乌鸦嘴了，哥们不是第一天干分析，沙箱早断网了”

裴琪把u盘插到了设备上。启动了病毒样本，等了三分钟，没动静。我看了感觉有点奇怪。出声调侃道

“裴琪哥，不行啊，你不是专业的吗，怎么病毒样本都跑不出来”

裴琪想了一下，说道

“可能这病毒有沙箱检测机制，等会我去拿个裸系统的物理机试一下”

裴琪回到了他的房间，搬出了一台老古董WIN7。我看了一眼

“你测试机就用WIN7？太穷了吧”

“你懂个屁，能跑就行”

裴琪把U盘插到了win7的机器上。双击了病毒程序。发现病毒跑了起来。等过了大概20分钟，WIN7电脑的系统里显示有一个新的账户，然后进程表单中也查找不到病毒程序的进程。

裴琪看了一下WIN7的设备说道。

“他估计是检测了是否是虚拟机才进行下一步操作，还是得逆向分析一下，头疼啊”

裴琪把U盘重新插回到了检测设备上，并且把设备连网了。开始用x32dbg对病毒进行逆向反编译的工作。发现在内存地址中调用dll库中的wine相关的函数判断是否运行在Wine的虚拟环境中，如果是则不继续运行，退出程序。

而又因为进程项被隐藏了，只能用过端口和流量进行分析，裴琪在监测中查找对应PID进程，发现木马通过将进程名进行置空隐藏，以此逃脱安全监测以及人工排查。然后分配可读、可写、可执行内存空间并将自己进程内存优先级提升，多线程执行。在监测分析进程过程中，发现木马向27.1XX.XX.X:1XXX地址发起请求。

裴琪把这个IP地址和端口号在自己的笔记本上记录了下来，跟我说

“我估计这个IP地址就是C2服务器的地址”

裴琪又开始分析病毒程序的代码分析。发现这个病毒竟然还会分析进程表。如果系统中存在其内存中的可信程序，则利用其进行dll反射加载，绕过杀毒软件监测。

裴琪敲下了其他的几个IP地址。然后对我说

“这东西不好解决啊。这家伙应该不是新手，免杀绕过，隐藏进程也都做了，主要是他也没有其他恶意行为”

裴琪指了一下屏幕。

“你看啊，他进程释放过后会自动访问网络，然后访问外网IP，外网IP要么是C2的服务器，要么就是DNS，然后他本身也会释放文件，问题是这个文件释放出来干嘛，现在还不清楚，我觉得要么挖矿要么是远控。加上他本身还会注册用户，我觉得是远控的概率大。问题是他做远控是做什么呢？”

裴琪继续敲击着键盘。

“就很奇怪。这个病毒好像还有键盘记录功能，问题是记录键盘的用途在哪里”

“裴琪哥，我觉得这样，咱们现在刚好去一下局里面。报案，顺便看看有没有相同情况的企业，如果有相同情况的就一块也调查一下。我这边联系了对接的干警同志。”

裴琪听到我说的话收拾了一下设备，然后转过头对Azeng说

“你也回去，咱们兵分两路，你回去把你家用那台电脑的会计也请去局里，到那边问问详细的情况”

“裴琪哥，我们现在走，刚好中午之前能到”

我们三人下了楼，我跟裴琪哥开车去了单位。Azeng开车回公司，去接那个会计，再去单位。

我和裴琪先到了单位，跟川sir对接上了

“川sir你调过来多久了”

“刚过来没多久，刚好有个案子，你看一下”

“先别看案子了，我们先来报个案”

我跟裴琪在办公室里面把情况跟川sir说了一下。川sir知道了以后说了他这边的案件情况

“我想跟你说的案子也是这个事情，刚好本地有其他几家企业的会计电脑都被种了木马。我听你这么一说，我感觉是一个事情”

大概又过了15分钟。Azeng带着他们公司的会计夏小芸来到了单位。

“道哥，这是我们公司的会计，不太懂技术啊，道哥你说事情的时候尽量简单一些”

“不懂技术也无所谓啊，你把当时的情况说一下咯”

夏小芸弱弱的说道。

“情况是这样的，我来公司以后，正常开机打开微信，然后发现在我们本地的会计交流群里昨天就有个人在群里发了一个文件，名字叫本季度涉税企业名单。文件格式是个压缩包，群里发这个文件的人在群里打字说，这个名单涉及报税，需要我们下载下来以后解压缩看一下文件内容。结果我下载下来打开以后电脑就这样。”

我听到这个情况，问了一嘴。

“那你看到那个发压缩包的微信号了吗？”

“微信号我不知道啊，不过我手机里面还留着这个记录，你可以看看。”

“我可能要把你手机拿去取证，没问题吧？”

“没问题，我愿意配合这个事情。”

说完夏小芸就把手机递给了我，我直接给了川sir，他拿去取证机器上去证。大概过了半小时过后，川sir拿着手机出来了。

“情况有点复杂，这个帐号在群里发完了病毒文件就退群了。不过还好，取证查到了他的微信号还有备注昵称。”

“有微信号就容易了吧”

“还是有点麻烦，这个微信号是没有修改过的，就是WXID开头的”

“先试试吧，还不一定，能弄得到他微信号最好”

“试试吧，毕竟还有一个C2的服务器地址，我看看能不能给他搞下来”

我从包里拿出来了我的笔记本，开始了我的工作。

我针对那台C2服务器做了一个端口扫描和信息搜集，发现刚好有几个端口是开着的，就做了一个端口上的中间件识别，发现服务器里面还有接收其他的内容的中间件，我就尝试用手上从朋友那里拿过来的几个0day漏洞打了一下，直接打进去了。我打进去了以后写了一个权限维持，建立了一个隧道做了监听。然后做了一个键盘记录+自启动木马。顺便对SSH的连接也做了一个隐藏进程的下载自启动内存木马，如果这个C2服务器的用户通过SSH或者其他方式登录并且进行操作，那么木马就会下到他的电脑上并且自动执行打开摄像头拍照。

慢慢的，天黑了。川sir走了过来，拍了拍我跟裴琪。

“去吃饭吧，去食堂随便吃两口回来继续干”

我抬头，眼睛非常的干涩酸。问到。

“Azeng和那个会计呢”

“早走了，做好记录就走了”

“那你帮我两打包份饭吧，我两就在这吃了”

“我那一份不要辣椒啊，清淡点”

裴琪在边上插了一嘴。

裴琪在另外一边继续敲击着键盘，利用开源情报的技术，搜索各类工作社群，社区和平台。去分析那个微信用户相关情况。然后在word上面逐一整理了出来。

“这家伙是不是被开除了啊，我看到他在平台上挂出来的简历了，里面姓名跟联系方式好像跟这个微信号在群里备注的一样。”

“不至于这么傻的人吧。你会拿自己的帐号给别人上木马吗？估计他也是被人利用的吧。”

“那就不知道咯，要是真有这么傻的人倒还好啊，我们也轻松点。”

川sir拿了两份盒饭进来，又去拿了两瓶矿泉水给我们。

“吃完饭在干，不急这一会。”

我和裴琪吃完了午饭，刚喝两口水，川sir就让我们去会议室，说给我们看一下材料。

刚进会议室，川sir把资料递过来了。让我们看完。

“资料你们都看完了，有什么想说的。”

“你这个东西就复杂了啊，这下搞的，侦破的突破口还是在C2那台服务器上。等看看那台机器能不能拿到结果呗。”

深夜，凌晨，我的电脑上传来一声提示音“有主机上线请注意”，一下子把我从犯迷糊的状态变得精神起来了。

“好小子，终于上线了，巧也是真的巧。”

我立马打开了工具，我的工具开始慢慢的回传木马机上的内容，包括那个人的键盘记录，还有摄像头和音频的内容。为了悄无声息的回传。我特地的设置了传输速度。

最先确定的是这个机器的IP和MAC地址以及物理的定位信息。我拿到了信息以后直接把他交给了川sir。川sir拿到手看了一下，跟我说。

“我现在去落地。”

说完便走出了办公室。

我还在电脑前继续等待这个目标的传输内容。大概过了十分钟以后，传回来了键盘鼠标的操作记录还有摄像头拍摄的照片。

“哟，这小伙子挺蠢的，都写病毒了，还不知道把电脑摄像头贴起来。”

我看着传回来的照片一乐，虽然传输的质量因为我为了避免被发现变得有点差，但是还是看得清人的。

我把照片打印了出来，去实验室找到了川sir，他在系统面前调去关于这个信息的详细情况，我站在那里把打印出来的照片递了过去。川sir看到了照片，说了一句。

“行了，剩下的事情就交给我们吧，你们先回去休息就行。”

我回到了办公室，写了情况说明以及使用说明，还有控制端的软件复制到了U盘里面，交给了川sir。然后我跟裴琪就回去睡觉了。

半个月后，川sir告诉我人抓到了，是在F市抓到的。现在人在押回来的路上。让我准备过去也顺便研判一下具体情况。

第三天早上，我到了单位。川sir告诉我还得在等等。我在办公室外面坐着。大概过了快一个小时，我看到了这个做病毒的黑客，身高一米七的样子，很瘦，黑眼圈很重，很明显是那种长期熬夜的状态。被两名干警押着走了过去，川sir招呼我去了会议室，里面坐着F市的同志，川哥给我介绍了一下。

“这位是秦sir，这位是郑sir。你给他们简单的汇报一下这个案件里面的技术情况。”

我抱着电脑进去，打开了word文档，边说边记录，汇报了大概半个多小时才完成。
我从三位阿sir的口中得知，原来这个黑客还打算在种完木马病毒以后全部勒索一遍，只不过还没实施就被他们抓住了。

我感慨了一下。

“好像现在干病毒的都想着顺带干一下勒索，是不是都想着干完一把退休啊？”

说完，三位阿sir跟我说到他们单位现在有聘请外部专家顾问的打算，问我有没有兴趣。我想了一想。

“没问题啊，就是不知道需要我做什么，别搞得事情太多了，我身体不太好哦”

川sir在旁边接了话。

“那刚好，你在这边把备案登记写一下，我们两边到时候上报给单位领导审核。”

于是，我在会议室里面开始填写我的各类信息。

过了一个多月，张sir打电话告诉我让我来单位。我稍微愣了一下。

“最近有什么事情需要我做的？”

“没有，找你是好事情。让你过来领证书。”

我知道了情况，应该是我的证书领导们批准了，我打个车去了单位，到了办公室。张sir和川sir一同恭喜我。

“玄道同志，现在你是我们还有F市两家单位的技术专家了，你可别推辞工作啊。”

我正了正我的衣领。

“请领导放心，我一定不辜负组织对我的信任和培养。”

我拿了证书出了门，返回了茶馆。初春的风，有些寒意，但是我却是热血滚烫。我感觉身上多了一些荣誉 多了一些责任，多了一些担当。

本章故事提醒：电脑在登录社交软件的时候尽量避免开启自动下载的功能。尽量减少被黑客进行病毒木马攻击的可能。