昨天某时，正吃完午饭的我，揉着眼睛打开态势感知平台准备日常划水，突然一个告警引起了我的注意，于是我“啪”的一下，很快啊，赶紧把相关告警进行溯源排查，一个小时后就生成了一份像模像样的安全分析告警溯源报告，立即联系相关单位做下发，同样的在我正慢慢悠悠吃晚饭的时候，突然被拉进了一个微信群，主机管理员告诉我病毒查杀不出来需要我的协助，我就纳闷了，杀个毒有那么难吗？还得我亲自出马，后来我才发现事情没有我想象的那么简单......

安全分析

1. 态势感知平台告警情况如下，某单位主机疑似感染LifeCalendarWorm挖矿蠕虫

2. 进行溯源分析发现源IP：10.x.x.x每隔10分钟连接一次恶意域名，恶意域名已在微步威胁情报库进行查询威胁有效，以下为举个“栗子”：

3. 分析完毕基本确认该主机感染挖矿病毒，迅速出具安全事件溯源报告，下发给对应单位做处置操作安全建议如下：

人工分析

当我在下发完分析报告后高枕无忧的吃晚饭的时候，此时突然“啪”的一下，很快奥，我没有闪，被拉到了一个微信群，里面负责该主机的工程师说病毒查杀不出来。

我：杀的出来。

他：杀不出来。

我：杀的出来。

他：杀不出来。

我：你换个杀毒软件，企业版的用起来

他：换了三个了

我：.……

此时，我心中一万XXX飞奔而过，你这是在质疑我这练习时长两年半的老师傅，我现在就实地给你表演一个，“鸡你太....”不，上机杀毒从入门到精通

1. 排查cpu及内存运行情况，cpu及内存运行正常，未发现进程大量占用cpu运行：

2. 内存使用情况正常

3. netstat -ano查看本机对外连接情况，未发现连接恶意ip情况：

4. 排查用户情况在win+r中输入msc发现该机器为域控制器

5. 使用net user排查用户情况，发现多个用户，该机器为域控制器，属于正常现象

6. 排查计划任务情况，跟管理员进行确认未发现异常计划任务

7. 在任务管理器网络连接进行查看发现dns.exe进程中存在态势感知平台报送IP

初步分析结论：

并非该主机感染病毒木马，该主机疑似为域控服务器包含dns服务，存在其他域内子主机通过该主机进行dns解析，所以造成了态势感知平台告警源ip为该主机，实际情况为域内子主机感染病毒。

追查受害者

大意了啊，告警平台他欺负我这22岁老同志，原来由于探针部署位置在核心交换机，导致未追踪到真实受害者机器，没事，反正排查出来就让他们去给下面的机器做杀毒吧，但这时客户又要求追查出真实中毒机器，哎呀，难道我的闪用完了吗，顿时恶向胆边生，手里不由点开了word打上了五个大字，辞职申请书。但一想到那还在远方等着我发工资带她吃饭嗷嗷待哺的女朋友，不由的退缩了，“打工人，打工魂，打工人都是人上人，干就完了。奥利给”！！！

1. 抓包神器wireshark：要想分析网络会话肯定得使用wireshark在该主机进行安装，此时，出乎意料的事情发生了，winpcap安装到一半机器卡住了，完全不能动了，这是业务主机啊，旁边工程师看到了 旁边工程师："说哎呀G工啊，准备下岗吧" 我：“........”

2. 联系主机管理员进行重启，还好没啥事

3. 下载便携版wireshark，根据病毒外连域名时间规律进行抓包，抓到真实受害主机

4. 告知主机管理员受害者IP进行杀毒，事件解决！！！

总结

这年分析工作太依赖于安全设备告警，忽略了老手艺，之后多上机处置，把wireshark再玩的6一些，此次处置过程中发现了很多新亮点，新技能。还好有万能的百度，之后多做一些人工分析工作，找找感觉，还有业务机器如果是虚拟机最好让管理员在我们上手前做快照，物理主机则让他们安装相应的软件，切莫自行上手！