实战|记一次HVV实战应急响应

admin 2021年11月18日01:00:50安全文章评论93 views1618字阅读5分23秒阅读模式

背景


记一次今年五月份为期两周的的HVV应急演练,前一周风和日丽,所有人都相处愉快,都觉得红队是纸老虎

在倒数第四天的时候,红队发威了,提交一份攻击报告,给我们扣了七千分(红队哥哥牛啤),差点直接给我们一波带走。

知道这个消息后,客户、客户领导、项目经理、客户经理、直属领导,马上给我来了个电话DDOS,人差点都没了,让马上展开应急响应

但是所有安全设备、态势感知上都是没有明显告警的,这还找个雅儿。

实战|记一次HVV实战应急响应


溯源


安全设备上排查半天也没有排查出来,因为数据量实在是太大了,各个安全设备加起来的误报又比较多,一时间毫无头绪,但有小伙伴(@嘉文)说直接去服务器上面排查,大概有三百多台,头都大了,但是也没有其他办法了,


但是刚排查到第二台服务器的时候就发现了问题,存在16.11对多个服务器进行了登录行为(通过询问客户运维人员得知,大量服务器用了同弱口令)


而且16.11同样也是服务器,讲道理他不应出现登录其他服务器的行为,于是对16.11进行分入分析。


实战|记一次HVV实战应急响应

实战|记一次HVV实战应急响应


登陆16.11服务器上查看,该服务器上搭载的是泛微OA系统,登录日志中存在恶意IP对系统进行爆破,发现两个攻击ip。


实战|记一次HVV实战应急响应


查看中间件,发现同样存在攻击事件,利用的是泛微OA  WorkflowServiceXml远程代码执行漏洞。


发现第三个攻击者IP。


实战|记一次HVV实战应急响应


查看服务器系统日志,5月17日晚10点12开始出现大量guest登录失败以及登录成功事件


实战|记一次HVV实战应急响应


查看系统用户信息,发现黑客新建多个账号,包括guest、以及默认账号


实战|记一次HVV实战应急响应


查看发现guest创建时间,正好为黑客攻击时间节点


实战|记一次HVV实战应急响应


黑客创建guest账号后,使用guest登录,上传横向扩散脚本,以及回连的工具


实战|记一次HVV实战应急响应

实战|记一次HVV实战应急响应


查看guest账号运行的工具的网络连接,发现攻击第四个攻击IP


实战|记一次HVV实战应急响应


并且在回收站中发现XX.jsp后门,实现建立socket隧道连接。


实战|记一次HVV实战应急响应


并且在访问日志中可以看到访问该jsp动作。发现第五个攻击IP


实战|记一次HVV实战应急响应


在c盘的用户/公用,目录下找到恶意文件运行的脚本,并且打开后可以看到这个脚本在调用emessage-http.exe工具,并且回连到恶意IP,找到第六个攻击IP。以及通过PsExec64.exe进行提权操作。


实战|记一次HVV实战应急响应

实战|记一次HVV实战应急响应


黑客利用攻击脚本,对内网资源进行扫描,方便后续进行横向扩散。扫描结果简直比客户台账还清楚。。。


实战|记一次HVV实战应急响应

实战|记一次HVV实战应急响应


然后再对服务器区域进行爆破登录等操作。到这里攻击者的进攻路线已经可以梳理出来了。


利用暴露在公网的泛微OA漏洞->上传后门、建立稳定回连通道、提权->横向扫描渗透->发现大量服务器存在同口令,直接拿下,一波肥。


后续反思:


1、缺乏暴露面梳理,例如OA系统,此类受众并非普通上网用户系统,直接暴露在公网,风险极大,如果系统被攻陷,则会被当成跳板机威胁内网所有资产,建议关闭映射,使用VPN访问该系统。

2、应定期对关键业务系统进行漏洞扫描,发现最新漏洞。

3、应对安全设备、态势感知设备定期更新特征库

4、应禁止弱口令、同口令。

5、加强纵深防御,在内网增加蜜罐等设备。

6、对服务器的管理端口比如web管理和通常的SSH/RDP进行ACL控制,允许指定管理员的IP地址登录。

7、加强统一日志收集管理分析能力。

8、建立主机安全管理平台,对于webshell上传、网络攻击建立最后一道防线。


作者:辉哥哥的小跟班

原文地址:https://www.freebuf.com/articles/web/304131.html


声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权否则需自行承担,本公众号及原作者不承担相应的后果.


实战|记一次HVV实战应急响应

1. 干货|红蓝攻防、安全工具、教程等持续更新中

2. 10个Web日志安全性分析工具

3. 红蓝攻防演练资产收集小工具

4. 任意文件上传之绕过云waf+本地防火墙双重防护

5.一次XSS和CSRF的组合拳进攻 (CSRF+JSON)

6.红蓝对抗之溯源

推荐阅读

实战|记一次HVV实战应急响应

点个赞、在看、分享,求三连

原文始发于微信公众号(乌雲安全):实战|记一次HVV实战应急响应

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年11月18日01:00:50
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  实战|记一次HVV实战应急响应 http://cn-sec.com/archives/638332.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: