V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hhacker
V2EX  ›  Google

Chrome 会发送奇怪的 DNS 请求到 2345、hao123、baidu 和 sogou

  •  7
     
  •   hhacker · 2020-04-12 17:22:16 +08:00 · 15083 次点击
    这是一个创建于 1718 天前的主题,其中的信息可能已经有所发展或是发生改变。

    每过 1 分钟的样子,Chrome 就会发送一个 DNS 请求,同时请求:

    1. www.baidu.com
    2. www.2345.com
    3. www.hao123.com
    4. www.sogou.com

    Chrome 版本号为 81.0.4044.92 Chrome 的这个操作是正常的吗?仔细检查了一下电脑,应该是没有中流氓软件 /病毒的。

    https://i.imgur.com/PUhGY8B.png

    第 1 条附言  ·  2020-04-12 19:08:36 +08:00
    尝试把 chrome.exe 改成 cc.exe 再运行,就没有那些请求了,是外部有什么程序在监控 chrome.exe 进程吗?
    查了一圈,发现 windows 下没有办法可以查到发起 dns 请求的程序
    第 2 条附言  ·  2020-04-13 12:33:15 +08:00
    给大佬们汇报下蜜罐情况

    1. 本机 www.2345.com host 指向 127.0.0.1
    2. 自签了 www.2345.com 的 ssl 证书并配好了 nginx conf
    3. access_log /home/wwwlogs/honeypot.log

    手动访问能收到相应的日志,观察一段时间后并没有任何标准端口( 80/443 )的访问进来,这一点也和 fiddler 没截获到可疑访问的表现相一致。

    巨大的疑问号
    第 3 条附言  ·  2020-04-13 15:21:43 +08:00
    已确认中招了,但这个流氓具体藏在哪里还没找到,现在又发现了以下几点:
    1. 打开 ie 或 edge 也会触发
    2. firefox 不会触发
    3. firefox.exe 改名成 chrome.exe 运行会触发
    第 4 条附言  ·  2020-04-13 15:31:14 +08:00
    把 firefox.exe 改成
    MicrosoftEdgeCP.exe 或 chrome.exe 或 iexplore.exe 100%复现
    第 5 条附言  ·  2020-04-13 15:33:19 +08:00
    这些 dns 请求无视本机的 hosts,目前的情况看是针对 chrome 、ie 、和 edge 进行了监控
    第 6 条附言  ·  2020-04-13 16:00:59 +08:00
    安全模式无法复现,正常启动可复现
    第 7 条附言  ·  2020-04-13 16:35:17 +08:00
    用 Process Monitor 看所有的进程都是合法签名过的,没有可疑注入。
    干到这里觉得这事儿可能有点超纲了,难道是 win10 自己干的,单就绕过 hosts 这一层就有点不太能 get 到
    第 8 条附言  ·  2020-04-13 17:06:32 +08:00
    补充一个复现的条件:
    改名成 chrome.exe/iexplore.exe/MicrosoftEdgeCP.exe 的程序必须自身是会联网的,纯单机的 exe 不会触发
    超纲了超纲了,今天就这样了,有思路了再搞
    第 9 条附言  ·  2020-04-13 18:55:32 +08:00
    最新进展:
    autoruns 把非微软家的服务 /启动项全关了
    重启进不去系统,跳自动修复然后修复失败,安全模式都进不去了,强行修复了一波结果 chrome 坏了,vs code 也坏了
    第 10 条附言  ·  2020-04-14 01:01:16 +08:00
    系统是 thinkpad t480s 原装的 win10 家庭版,开箱附带了一些联想的软件。
    没有重装过系统,开了 secure boot,如果有 bootkit 。。。也是 oem 自带的了。。。
    108 条回复    2021-05-13 17:18:09 +08:00
    1  2  
    yulihao
        101
    yulihao  
       2020-04-15 16:03:06 +08:00
    呀,进不去系统了啊......没看 APPEND
    hhacker
        102
    hhacker  
    OP
       2020-04-15 16:51:15 +08:00 via Android
    @yulihao 现在恢复了系统备份,还在一月份的备份里就已经有这些可疑请求了
    可惜我开箱的时候没做全盘备份,不然这锅就好扔了
    我打算有空的时候再处理了,感谢各位关注
    hhacker
        103
    hhacker  
    OP
       2020-04-15 16:52:10 +08:00 via Android
    append 数量满了,后续内容更新到回复里
    hhacker
        104
    hhacker  
    OP
       2020-04-15 16:53:00 +08:00 via Android
    我是这样想的,既然安全模式是干净的,那现在肯定是有流氓在
    hhacker
        105
    hhacker  
    OP
       2020-04-16 00:32:00 +08:00
    1. dns request from C:\WINDOWS\system32\svchost.exe -k NetworkService -p -s Dnscache
    2. disable dnscache REG add "HKLM\SYSTEM\CurrentControlSet\services\Dnscache" /v Start /t REG_DWORD /d 4 /f
    3. source to C:\WINDOWS\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s NcbService
    4. NcbService (Network Connection Broker 允许 Windows 应用商店应用从 Internet 接收通知的代理连接。) ncbservice.dl
    5. NcbService 依赖 连接设备平台服务(此服务用于连接设备平台方案)
    6. 禁用 Network Connection Broker 服务
    7. MsMpEng.exe ( Antimalware Service Executable )发出 dns 请求( C:\ProgramData\Microsoft\Windows Defender\platform\4.18.2003.8-0\MsMpEng.exe )
    8. 关闭 windows defender ( reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /d 1 /t REG_DWORD /f )
    9. C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s Winmgmt(Windows Management Instrumentation) WMI 服务
    10. wmi 相关文档 url https://www.freebuf.com/articles/system/187792.html
    11. wmi 检测工具 https://www.slideshare.net/Hackerhurricane/detecting-wmi-exploitation-v11

    _______________________
    以上是今天的进度,初步缩小范围至 wmi
    hhacker
        106
    hhacker  
    OP
       2020-04-16 13:56:28 +08:00 via Android
    没能找到任何 wmi 事件。。。。。
    sino1641
        107
    sino1641  
       2020-05-07 02:07:09 +08:00
    蹲一波后续
    如果是 OEM 的锅可以跟联想服务反馈(?)
    xmt328
        108
    xmt328  
       2021-05-13 17:18:09 +08:00
    这件事还有后续嘛
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1125 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 18:52 · PVG 02:52 · LAX 10:52 · JFK 13:52
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.