一年一度的攻防演练要开始了,我正犯愁防守的布置,一抬头发现研发部负责人老王正站在我工位前,一脸着急:“有台主机可能中毒了,能帮忙解决下吗?”
疑似中毒的是一台虚机,主要用于新闻发布,平时负载并不重。今天早上八点,原本会有公司重要公告发布,但未能准时发出,领导直接怒call老王。眼瞅着要从心腹变成心腹大患,老王只好来求助。
老王排查问题时,发现这台虚机上有个奇怪的进程,CPU占用率高达600%,Kill掉之后,虚机恢复正常。但大约一小时后,进程自动重启,kill进程,删文件……又一小时后,这个进程再次重启。
这显然是中了木马,而且还运用了比较高明的隐藏手法,光kill进程肯定没用。我正准备给老王露一手,电脑上却跳出了OneEDR告警:172.xx.xx.32主机发现挖矿木马。
我立即登录OneEDR管理后台,快速找到告警,打开威胁进程图(如下图),理清攻击过程,然后指着其中一个有着奇怪名字的图标,问老王:“你发现的那个奇怪进程也是这个名字吗?”
![出事故了,研发慌了,我却有意外收获……]( "出事故了,研发慌了,我却有意外收获……")
OneEDR中的威胁进程图,还原了木马入侵到这台主机后的所有的操作行为(此图为实验室环境复盘时截图,下同)
“对!”老王一眼就认出来了,说:“Kill掉还会自动重启。”
“只kill进程没用。”我指着威胁进程图上的另几个图标说,“这个木马自动把执行文件复制到了多个目录下,隔一段时间就会自动执行,所以要把这些文件全删掉才行。”
“还有这个地方,木马是通过SSH发起的攻击,你们的登录密码又被破解了。而且,注意SSH登录用的IP(172.xx.xx.210),这是个内网IP,意味着黑客先攻破了172.xx.xx.210主机,然后再通过弱密码横移到172.xx.xx.32主机的。”我接着给老王分析。
“出问题的就是发布新闻的那台主机!”老王脱口而出。
经老王允许后,我一边登录到172.xx.xx.210主机,安装OneEDR并启动文件扫描,一边对老王说:“催了好多次,你们一直都不装OneEDR。要是早装了,就没今天这事了!”
老王有些尴尬地说:“等这个项目忙完,忙完就装,把所有主机都装上。”
我赶紧严肃地说:“不能等。这事儿还没解决,172.xx.xx.210主机之前没装OneEDR,所以找不到入侵风险点。但黑客极有可能会再次利用这个风险点进行攻击,而且不知道有多少主机存在这个风险点,核心业务主机会不会也被攻击?”
老王一下子紧张了,皱着眉头说:“现在装来得及吗?全公司可有3000多台主机。”
我在心里盘算了一下,说:“我们自己装肯定不行,只能找微步紧急支援,至少要保证核心业务主机的安全。”
没有其他更好的办法,老王只能心一横:“小黄,辛苦你主导一下,我这边全力配合,必须保证业务主机安全!”
晚上十一点,当最后一批主机顺利安装好OneEDR之后,我忍不住长舒了一口气,老王的神色也轻松不少。
但我不准备现在就下班——攻击和防守是拉锯战,今天上午处理了那台失陷主机以后,一个白天过去,其他主机都没有动静,我猜测,说不定狡猾的黑客会在深夜行动,趁下班时间继续发起攻击。
就在我迈着轻快的步伐送微步工程师离开时,手机响了。是告警信息:172.xxx.xx.210主机发现漏洞利用行为。
我立刻打开电脑,登录OneEDR,点开威胁进程图,果然就是上午的攻击团伙,攻击手法几乎完全相同,赶紧查看风险点,原来是安装在这台主机上的一个低版本Web框架存在未修复的漏洞,如下图:
我立刻封禁了攻击者IP,打电话给老王:“黑客入侵的风险点找到了,是xx框架存在RCE远程执行漏洞,受影响的版本为2.3.xx.x。”几乎同时,OneEDR自动隔离了攻击者使用的Webshell。
老王悬着的心落了地,如释重负地说:“好,辛苦了,我马上排查!”
我一边进入OneEDR的资产清点页面,一边对老王说:“不用排查,我发你主机地址,这些主机上都安装了这个版本的Web框架。”
将主机及漏洞相应信息导出给老王后,我合上电脑忍不住偷笑:塞翁失马,焉知非福,通过这次攻击,我不仅发现一个重大风险点,还推动老王把公司主机全装上OneEDR,攻防演练可以轻松很多。
走出公司,无云的天空,星星格外闪耀,明天一定也是个好天。
原文始发于微信公众号(微步在线):出事故了,研发慌了,我却有意外收获……
评论