Вопрос или проблема
Во время расследования инфекции вредоносным ПО на Windows Server 2012 R2 я заметил, что вредоносный файл находится в c:\Windows\Vss\Logs\WsmRes64.dll.
Проблема в том, что я не могу cd c:\Windows\Vss\Logs, и в директории c:\Windows\Vss отображается только папка Writers, а не Logs.
Но если я пытаюсь получить прямой доступ к файлу (работают как относительные, так и абсолютные пути), я могу получить его содержимое, открыть его и т.д.
Попытка использовать icacls или takeown непосредственно к директории c:\Windows\Vss\Logs вообще не работает. Всегда говорится, что путь/директория не существуют.
Те же инструменты, направленные на файл, работают! Я могу взять на себя собственность и управлять разрешениями по своему усмотрению, если введу точный путь (относительный или абсолютный) к файлу. Но снова, я не могу удалить или переименовать файл!
Существует ли способ получить доступ к директории Logs, чтобы удалить её, или удалить вредоносный DLL (без полной переустановки системы и форматирования диска)? Предпочтительно, чтобы это не было “оффлайн” методом, так как я могу получить доступ к серверу только через RDP.
На всякий случай, я уже “изолировал” инфицированный DLL, прервав связь, которая загружала его в память.
ИЗМЕНЕНИЕ:
Грег предложил, что этот вопрос похож на Как мне справиться с скомпрометированным сервером?. Я не ищу общие способы борьбы с скомпрометированными серверами. Моя цель здесь – узнать, как удалить файл из директории C:\Windows\Vss. Это защищенная системная директория, но в неё можно поместить файл в “суперскрытую” директорию в живой системе. Должен быть способ его удалить, верно?
Я осведомлён, что этот единственный аспект далек от того, чтобы справиться с полной компрометацией сервера вредоносным ПО; это лишь небольшая часть гораздо большей архитектуры, связанной с компрометацией систем. Но я хотел бы сосредоточиться на конкретной теме файла в папке VSS в этом вопросе.
Ответ или решение
Вопрос удаления файла, созданного вредоносным ПО в директории Windows Shadow Volume Copy, представляет собой сложную задачу, особенно когда дело касается защищённых системных каталогов, таких как C:\Windows\Vss. В данном ответе мы подробно рассмотрим подходы к удалению файла WsmRes64.dll, находящегося в директории C:\Windows\Vss\Logs, с использованием существующих инструментов, доступных на сервере под управлением Windows Server 2012 R2.
1. Определение проблемы
При попытке получить доступ к директории C:\Windows\Vss\Logs через командную строку или PowerShell мы сталкиваемся с ограничениями доступа, что делает невозможным простую навигацию к указанному пути. Однако файл WsmRes64.dll можно открыть и редактировать, указывая полный путь. Это указывает на особую защиту на уровне файловой системы для директории Logs.
2. Проверка атрибутов файла и директории
Перед тем как предпринимать какие-либо действия, рекомендуется проверить атрибуты файла и директории. Для этого выполните следующую команду в cmd или PowerShell:
attrib "C:\Windows\Vss\Logs\WsmRes64.dll"Если файл имеет атрибуты, такие как "скрытый" или "системный", это может объяснять проблемы с доступом.
3. Удаление вредоносного файла
Следуя принципу минимизации риска, перед удалением файла убедитесь в том, что он не используется системой. Так как файл WsmRes64.dll уже "изолирован" от использования, следующим шагом можно использовать:
-
Запуск командной строки с повышенными привилегиями
Откройте командную строку с правами администратора. Это можно сделать, нажав на кнопку "Пуск", введя
cmd, затем щёлкнув правой кнопкой мыши на «Командная строка» и выбрав «Запуск от имени администратора». -
Изменение атрибутов и удаление файла
Попробуйте сначала убрать атрибуты "скрытый" и "системный", а затем удалить файл:
attrib -h -s "C:\Windows\Vss\Logs\WsmRes64.dll" del "C:\Windows\Vss\Logs\WsmRes64.dll"Если команда
delне сработает, это может быть связано с блокировкой на уровне системы.
4. Использование безопасного режима
Если удаление через обычный режим Windows не работает, запустите сервер в безопасном режиме. Безопасный режим запускает систему без ненужных драйверов и программ, что может позволить вам получить доступ к файлу.
- Перезагрузите сервер и при старте нажмите
F8, чтобы выбрать "Безопасный режим с командной строкой". - Повторите команды для изменения атрибутов и удаления файла.
5. Дополнительные методы: Utilitaries
Если предыдущие шаги не привели к успеху, можно рассмотреть возможность использования специализированных утилит:
-
Handle от Windows Sysinternals – Это утилита для поиска процессов, которые используют определённый файл. Убедитесь, что файл не заблокирован.
-
Unlocker – программа, позволяющая разблокировать и удалять файлы, которые используются другими процессами.
6. Заключительные рекомендации
После успешного удаления вредоносного файла рекомендуется просмотреть систему на наличие других проявлений вредоносной активности и провести полноценное сканирование антивирусным ПО. Также следует обновить все пароли и убедиться, что бэкапы не содержат заражённых файлов.
В конечном итоге, работа с системными директориями требует вдумчивого подхода и высокой осторожности. Убедитесь, что все действия выполняются с целями минимизации потенциальных рисков для системы.