А мы продолжаем разбор ситуации со взломом нашей системы.
Кто не в курсе ситуации - прошу ознакомиться с топиком с самого начала. Вкратце - неизвестные хакеры взломали операционную систему и напихали ей полную сковородку овощей. А мы пытаемся расковырять "что же - что же - что же произошло".
Сейчас обратимся к системным журналам - кладезь ценной информации. Находятся они в каталоге "C:\Windows\system32\winevt\Logs". Восстанавливаем весь каталог и скармливаем его программе FullEventLogView от Nirsoft (качать тут). Чем хороша данная программа - загружает в одно окно информацию со всех журналов, позволяя проводить простейшие корреляции по времени. Примерно сопоставив Timeline с временем появления первых "посторонних" файлов отыщем момент "вторжения":
В 14:05:43 местного времени в нашу систему был осуществлён анонимный вход с определённого IP-адреса. Не будем списывать со счетов этот IP, посмотрим, что он нам скажет.
Для чека я пользуюсь abuseip: https://www.abuseipdb.com/check/202.152.39.13 - у адреса богатая "тёмная история".
Полистаем немного "вперёд", может найдём что-нибудь интересное...
Вот и новый маркер - новая служба с именем dadoaswyw - и путь к EXE-файлу есть. Используется традиционно "похожее" на легитимное название. systeinfo.exe. Обязательно заглянем "под капот" этой службе.
Вот и ещё одна служба - файл test.exe. Кстати, его я уже разобрал в прошлом посте, почитайте, реально было интересно :)
Ну а засим откланиваюсь, посмотрю, что ещё есть интересного. Подписывайтесь, чтобы не пропустить!