Sysmon立大功，分析短进程，阻止右下角芒果TV弹框

一、缘起

今天正在愉快地玩着坦克世界，正式紧张时刻，突然右下角弹出芒果TV的推广弹框，导致鼠标键盘失焦，结结实实得挨了4005一发。

二、解构

作为网络安全工程师，我的电脑我做主，什么阿猫阿狗都随随便便来弹框肯定是不能接受的。

明明右下角没有运行芒果TV，为什么芒果TV什么进程能够弹框？于是打开任务管理器，结果芒果TV相关进程完全不存在。

坏了，遇到“短进程”了。（注：短进程，短暂运行的进程，运行完立刻中断，不长期存在后台。）

于是打开windows日志，审计日志，查看到底是什么东西拉起的这个推广弹框。

这里推荐使用微软官方的Sysmon日志工具。

Sysmon包括以下功能: 记录当前进程和父进程中使用完整命令行创建的进程。记录使用 SHA1(默认)、MD5、SHA256 或 IMPHASH 的进程映像文件的哈希。

筛选近15分钟的日志导出，分析发现事件ID1、5是进程相关，于是筛选事件ID。

迅速定位到对应进程，发现 bubble.exe这个应用是拉取远端OSS的图片，并本地生成弹框。

"C:\Program Files (x86)\MGTVPCC\bubble.exe" {"id":9488818,"msg_type":88005,"data":{"alertConf":{"screen":1,"sound":1,"vibrate":1},"biTag":"6b0fb05f55249c453098a6853ab2b41a","content":"陈德容三公加入侯佩岑队！王珞丹祝绪丹双向奔赴组队，宋妍霏想选李晟当队友？叶童挑战唱跳女团\u003e\u003e","id":142980759,"image":"https://ossimg.hitv.com/platform_oss/A66DDEB0A79347F4A83975EF013A2939.jpg?x-oss-process=image/resize,m_fixed,w_320,h_179","jumpSchema":"","jumpType":1,"msgTtl":39391,"payload":"{\"showTime\":8,\"channel\":24,\"messageId\":142980759,\"videoId\":\"22740352\",\"title\":\"\",\"type\":\"23\",\"content\":\"mgtvpcclient://video?videoId=22740352\u0026clipId=\u0026plid=\u0026source=60cfbk6kp\u0026pos=pushmessage\",\"tid\":\"MG-0418_124_142980759\",\"thread-id\":\"notifications-recommend\"}","pushTime":0,"styleType":1,"title":"《乘风2025》二公个人排名公布！"},"rd_time":0}

于是想到了一个奇怪的用法，弹一个我最爱的车出来，哈哈哈。（图为8金TD天蝎）

继续排查是哪个父进程创建的该子进程。

立刻定位到"C:\Program Files (x86)\MGTVPCC\UpdateService.exe"

注意到这里进程权限相当高，使用的是 “NT AUTHORITY\SYSTEM”权限，windows系统的最高权限。

跟着进程C:\Program Files (x86)\MGTVPCC\UpdateService.exe，看到推送域名解析push.log.mgtv.com

看看后续还进行了什么操作，立刻定位到bubble的子进程进程: C:\Program Files (x86)\MGTVPCC\upload.exe。

访问地址https://pcc-v1.log.mgtv.com/dispatcher.do，后边携带的参数应该是该API收集的用户信息。

收集的数据：
- 设备信息（did、uuid、mac、pix 屏幕分辨率）。
- 系统信息（sver=Windows 10、termid=8）。
- 用户行为（logtype=pv 页面访问统计、sessionid 会话ID）。
- 客户端版本（ver=6.8.3_1.1.50）。
- 网络信息（abroad=0 国内/外标识）。