【技术分享】分享一个最近的一次应急溯源

admin 2021年12月22日01:32:22安全文章评论54 views2393字阅读7分58秒阅读模式

【技术分享】分享一个最近的一次应急溯源

作者:天启@涂鸦智能安全实验室



前言


某日接到一哥们的求助电话,大概意思就是他的客户中了病毒,现在客户很慌,他也很慌,想求助我协助看能不能溯源分析一下黑客的攻击路径。

我想中午也没事干,就帮他溯源分析一波吧。首先问了他一下信息以方便进一步排查,同时也提前准备好相应的工具。由于他们不是专门搞安全的,所以更细节的东西他们是不会注意的。如果想快速溯源分析,最好的办法还是需要去中毒的机器上亲自看。同时还有一个比较重要的事情,就是稳定好受害者的情绪和保护好现场,尽可能在我们溯源前保持原状。这样可以让我们快速定位问题,然后找出对应的解决办法。

【技术分享】分享一个最近的一次应急溯源

但是我这次遇到的就不是很幸运了。因为事情出的比较紧急,客户慌的一批,直接将异常的文件以及所有异常的信息都删除了,这给溯源造成了一定的困扰。但是也没有办法,只能硬着头皮上。

【技术分享】分享一个最近的一次应急溯源

 


开始溯源分析


开始之前,先说一下目前机器中毒常见的两种状况。

一:中了勒索病毒,所有重要的文件全被加密了,然后留下勒索者联系方式以及付款方式。

二:中了挖矿病毒,CPU占用异常高,机器非常卡顿。

如果中了第一种病毒,就比较悲催了,因为单纯从技术角度来讲,基本不太可能对加密的文件进行解密。可能会有同学问为什么,举个简单例子,勒索病毒用的加密算法本质上是和支付宝、微信支付用的加密算法是差不多的。

目前微信支付宝是安全的就是依赖加密算法的安全不可破解!我们平时也几乎没怎么听说黑客攻击解密支付宝和微信支付,那说明这些加密算法还是非常安全的!换句话讲解密勒索病毒加密的文件的难度可能是与破解支付宝和微信支付的难度是不相上下的!既然这么难破解,那我们为什么平时还能看到某些厂商提供解密勒索病毒的工具或者平台呢?答案很简单,他们搜集到解密的密钥!遇到第二种情况,稍微比第一种好一点点,只要找到异常的进程干掉然后相关定时任务清除掉基本就可以了!
根据上面的总结以及我们目前获取到信息基本可以确定这次机器中毒应该是中了挖矿病毒!因为特点非常明显,CPU占用非常高!而且根据截图信息我们还能大概描绘一下该挖矿病毒的攻击路径:python3脚本->javav.exe->开始挖矿!当然这一切都是根据我们目前能掌握的信息进行的合理推测!至于真实的攻击路径是什么样子的还是需要我们直接上机进行排查!

【技术分享】分享一个最近的一次应急溯源

等到中午的时候我打开了”向日葵”连上了受害机器!当我上到真实机器上的时候,我在想如果我是这个黑客,我应该怎么入侵这台机器并且放上挖矿的脚本?映入我脑海的第一个想法就是利用该机器上能利用的漏洞入侵这台机器!首先我捋了一下系统信息:Windows sever 2012 R2,本身就是一台简单的服务器并无其他功能,且本身并无直接可利用的系统漏铜.挖矿的黑客一般在互联网上找”矿机”一定是快准狠的,不大可能会大费周折!既然系统层面没有直接可利用的漏洞,那基本可以排除黑客是利用Windows server 2012 R2系统本身漏洞入侵的可能了!
既然黑客不是利用系统漏洞进行入侵,那接下来的排查重点就是搭载在系统上的应用是否存在漏洞了!不查不知道,一查吓一跳,这上面的应用真是惊到我了!我™直呼内行!我们先上一张图看看这台机器上都装了什么应用吧!

【技术分享】分享一个最近的一次应急溯源

随便瞄了一眼看到了几个感觉存在漏洞的服务,WebSphere,yongyou,activeMQ等等,我先对activeMQ进行溯源分析,因为这个服务如果存在漏洞的话是最容易拿shell,检查时发现该版本果然存在漏洞,但是在日志以及文件夹中并没有发现入侵的痕迹,既然没有看到相关的入侵痕迹!那就直接对下一个目标服务进行溯源吧!
【技术分享】分享一个最近的一次应急溯源
WebSphere就很离谱了,直接暴露在公网,而且版本是8.5.0.1,该版本直接输入用户名不用输密码即可进入管理后台,这种应用黑客见了可能都会起疑,这不会是蜜罐吧?可是这个确实是真实的生产系统并且开放在互联网上
【技术分享】分享一个最近的一次应急溯源
我直接进入了WebSphere的运行文件夹下面,看到了辣眼睛的两个文件a.bat和c.exe,想必根据链接中的bat文件名基本也能猜出这两个文件是干啥的了吧!为了进一步确认,我下载了连接中的bat文件进行了简单分析,发现其实就是一个挖矿bat文件,至于开头我们看到占用大量CPU的进程javav.exe为什么会调用python呢?为了证实我的疑问我让c.exe在我的虚拟机上运行了一下,发现他果然调用了python3,至此攻击链溯源分析清楚了:黑客通过WebSphere入侵了该机器,然后下载了挖矿脚本进行挖矿!
【技术分享】分享一个最近的一次应急溯源
【技术分享】分享一个最近的一次应急溯源
我愉快地将这个结果告诉我的那个小伙伴,同时建议他告诉一下客户,这台机器上的应用都是古董级别的了,堪比靶场,要立马全部检查升级一下,不然后面这种入侵事件还是会有的!
 

简单总结一下


学而不思则罔,虽然这次挖矿溯源分析成功了,但是总结一下还是非常有必要的。当然都是个人经验,没有接触溯源分析的小伙伴也可以适当参考一下,以防下次遇到溯源分析的时候手忙脚乱:
  • 提前将所有在溯源过程中可能遇到的工具准备好,最好是免安装版。

  • 记得要安抚好客户情绪,对受害机器做断网处理,尽量不要破坏被入侵的机器。

  • 根据目前能掌握的情况,判断入侵的机器可能中的是哪种类型的病毒!是勒索病毒或者是挖矿病毒。

  • 上机排查的时候可以大概分两个方向排查,系统本身是否存在漏洞,安装在系统上的应用是否存在漏洞。

 

后记


笔者能力有限,写的文章不可避免有纰漏,忘各位大佬海涵!当然可以加我微信交流哦:5ed0c42e63c9c2145990351ccaec4da5(可解密哦……)【技术分享】分享一个最近的一次应急溯源

- End -
精彩推荐
【技术分享】工控攻防演示——从外网到内网控制系统设备的入侵
【技术分享】对抗样本及其背后性质分析(实战导向)
【技术分享】DDoS介绍与防御
【技术分享】SSTI漏洞学习 (上)——基础知识和一些不常见的模板引擎介绍
【技术分享】分享一个最近的一次应急溯源
戳“阅读原文”查看更多内容

本文始发于微信公众号(安全客):【技术分享】分享一个最近的一次应急溯源

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年12月22日01:32:22
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【技术分享】分享一个最近的一次应急溯源 http://cn-sec.com/archives/453817.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: