SSM终结dll注入

作者:xlx

原文地址:https://secvul.com/topics/951.html


最近跟同事讨论一次安全事件的时候,偶然了解到SSM这个软件,这里抛砖引玉做个记录。

System Safety Monitor (SSM)是一款俄罗斯出品的系统监控软件,可以对系统进行全方位监测的防火墙工具,它不同于传统意义上的防火墙,针对操作系统内部的存取管理,因此与任何网络/病毒防火墙都是不相冲突。使用System Safety Monitor (SSM), 可以实时监控系统活动、终止那些不需要或不希望发生的系统活动。

《SSM终结dll注入》

许多木马都是注入到系统里关键进程中的,例如“svchost.exe”、“lsass.exe”、“winlogon.exe”进程,这些进程使用普通方式无法结束,使用特殊工具结束掉进程或卸载掉进程中的DLL文件后,却又很可能造成系统崩溃无法正常运行等问题。对于这类dll木马,必须在进程运行之前阻止dll文件的加载。阻止dll文件加载可以使用强大的安全工具“System Safety Monitor”(简称SSM)。

这里以典型的dll注入上兴远控为例:

实验环境:windows server 2003 32位

首先运行上兴远控,配置服务端,这里因为是实验,随意填入一个ip地址即可,之后生成服务端。

《SSM终结dll注入》

生成服务端之后,目录下会生成rejoice.exe的服务端后门程序。

《SSM终结dll注入》

在虚拟机中运行rejoice.exe文件,运行之后用process hacker查看进行进程,发现木马生成IEXPLORE.EXE和rejoice.exe进程。《SSM终结dll注入》

查看IEXPLORE.EXE进程中加载的dll文件,可以看到IEXPLORE.EXE进程中加载了rejoice.dll文件。《SSM终结dll注入》

用everything搜索,发现在C:\WINDOWS\ststem32目录下生成rejoice.exe和rejoice.dll文件。《SSM终结dll注入》

这里尝试直接Kill掉进程IEXPLORE.EXE,注意此时IEXPLORE.EXE的PID号为3932。

《SSM终结dll注入》《SSM终结dll注入》

结束掉进程IEXPLORE.EXE之后,又生成一个新的进程IEXPLORE.EXE,PID号为1272。《SSM终结dll注入》

尝试kill掉rejoice.exe进程,该进程也是无法直接杀死的。

此时祭出神器SSM,首先安装SSM,此处使用的版本是SSM 2.0.8.585,尝试过SSM2.3.0.612和SSM2.4.0.662 bete版本,发现无法自定义阻止的进程,可能是我太菜的原因。

《SSM终结dll注入》

首先安装SSM,傻瓜式安装,直接一路下一步即可,这里注意,安装完成之后,需要立即重启服务器,否则SSM无法运行。《SSM终结dll注入》

重启之后,启动SSM,可以在“options”选项中,选择“General”,将Language修改为中文。《SSM终结dll注入》

只有让SSM随时启动才能真正起到监视和保卫系统安全的作用,这里我们设置让其自动随Windows一同启动,在“选项”中选择“常规”中勾选“自动启动”。《SSM终结dll注入》

接下来添加规则,阻止dll启动,在规则一栏中,右键选择”添加文件规则”选择添加“应用程序”《SSM终结dll注入》

选择system32目录下的rejoice.exe文件,这里在文件名中直接填入rejoice.exe即可,之后相同的方法,再建一个库文件规则,填入rejoice.dll。《SSM终结dll注入》《SSM终结dll注入》

添加完规则之后,右键选择”规则”,将允许设置为阻止。

《SSM终结dll注入》《SSM终结dll注入》

最后,注意了,要在”选项”中,选择”程序”,勾选“启用程序规则之后,依照阻止规则关闭相应的进程”和”应用新近创建的阻止规则于已运行的程序”,不勾选规则无法生效的。《SSM终结dll注入》

完成设置之后,点击”应用选项”,之后重启服务器。《SSM终结dll注入》

重启之后,再次使用process hacker查看进程,发现恶意进程rejoice.exe未能启动,rejoice.dll也未能注入IEXPLORE.EXE,两者均被SSM阻止。《SSM终结dll注入》

此时无法删除的rejoice.exe和rejoice.dll也可以被删除掉了。《SSM终结dll注入》

 

《SSM终结dll注入》

点赞

发表评论