【红蓝攻防】记一次溯源境外黑客组织

全文已做脱敏处理

溯源流程

1. 拿到目标后，第一时间对目标进行威胁情报查询，发现此IP已归纳在恶意IP中。

2. 对IP进行初步探测，使用全端口扫描，扫描时可适当提高扫描速率但不能太快，速率太快会导致丢包漏扫。

3. 扫描探测出存在8080端口，且为tomcat应用，尝试访问/manager/html，成功访问

4. 将制作好的jsp免杀木马通过war包形式上载，成功

5. 使用冰蝎成功连接，且为root权限

6. 对ssh连接信息，网络连接信息等分析后，都未得到有效信息

7. 在文件系统中继续探索，按时间排序后发现了攻击者留下的可疑文件，打开后发现为IP列表和签名，猜测为攻击者攻击或拿下的其他IP

8. 将此信息放入搜索引擎中查询，得到多个社交网站信息，团队信息以及被攻击者拿下的其他网站。

9. 同时在目录下发现了名为rev.pl的perl脚本和top100弱口令，经过分析为pentestmonkey编写的反弹脚本，猜测攻击者使用此机器对全网进行扫描渗透，使用弱口令+反弹的流程批量拿shell。

总结

1. 拿到后首先做被动扫描，避免提前惊动攻击者，可使用威胁情报，fofa等工具。

2. 当拿到之后首先确认端口是否开启，若端口开启较少也可使用masscan进行全端口扫描，但速率不宜过快，以免丢包或引起攻击者警觉。

3. 如遇到WEB服务请使用虚拟机访问，避免蜜罐与浏览器0day攻击。

4. 拿到shell后首先做好持久化，且做好下载与截图操作方便取证。

5. 查看ssh等连接的连接IP，网络连接状态。

6. 查看文件时注意文件日期，同时注意防止攻击者伪造文件时间戳。