技术干货 | 安全技术之蓝队应急响应随笔

admin 2022年3月18日00:13:09应急响应评论143 views4070字阅读13分34秒阅读模式

本公众号发布的文章均转载自互联网或经作者投稿授权的原创,文末已注明出处,其内容和图片版权归原网站或作者本人所有,并不代表安世加的观点,若有无意侵权或转载不当之处请联系我们处理,谢谢合作!


欢迎各位添加微信号:asj-jacky

加入安世加 交流群 和大佬们一起交流安全技术

一、交代背景

某家互联网公司参与某区级HW行动,角色为蓝方,红方未知。


人物:

荣队:蓝方安全负(bei)责(guo)人

蓝先生:蓝方的主要防守人员

三次方:蓝方的运维人员,权限较高,意识较差是他的特点

小小天:蓝方渗透测试人员

红先生:红方的未知攻击人员

二、交代结果

蓝方办公网被打穿,域控被拿下,其在阿里云上的部分非核心系统被拿下。

蓝方通过溯源、排查、调研等最终完整定位整个攻击路线。

由于时间较久,已经找不到当时的截图,只有文字说明。

三、攻击过程

技术干货 | 安全技术之蓝队应急响应随笔


经排查后,详细攻击过程如下:

1)2021.05.25 13:13 

公司小狐狸app客服组赵六通过公司智齿在线客服渠道接到红先生发起的聊天,并收到红先生发来的恶意压缩包,当然红先生利用了一些社工的技巧,虽手法很一般,但无奈赵六安全意识不足,还是解压并且双了击。事后通过终端防病毒McAfee查杀日志得出2021.05.25 13:28解压缩并且运行了里面的exe中招。


2)2021.05.25 14:06 

赵六(192.168.20.193)找到蓝先生,反馈其接收到的文件被McAfee提示有恶意程序并查杀(其实是部分查杀,因为McAfee防病毒策略配置不严谨),事后查看赵六的McAfee客户端日志,执行了恶意Powershell脚本中招。当时蓝先生接到反馈后,立即对原始文件样本做了2个处理动作,一是McAfee全面查杀压缩包,无毒;二是在自己虚拟机沙箱打开了压缩包里面的doc文档,排查是否存在宏命令,提示报错,就没关心了。


3)2021.05.25 14:33 

赵六的电脑(192.168.20.193)开始有dns解析www.fscoode.xyz(172.67.167.203)的请求。


4)2021.05.22 16:56 

时间拨回到5月22日,早在这时公司安全渗透测试人员小小天有在办公网进行黑盒扫描,并扫描到192.168.24.29(运维同事三次方的不常用电脑)存在shiro RCE漏洞,因三次方电脑安装了供应商的考勤打卡系统测试版本,该系统存在shiro最新0day,后来因为是三次方的电脑就没关心。


5)2021.05.25 18:21

通过三次方电脑上部署的考勤打卡系统的日志分析,发现有shiro 反序列化RCE攻击日志,三次方桌面有个“常用数据.txt”,里面保存有域控管理员administrator账号密码、阿里云VPC考勤机3389账号密码、mssql sa账号密码敏感信息,还有公司多年前的阿里云老域控的IP地址(172.31.116.174)和老的账号密码。安全意识太薄弱,但是很多公司运维还在这么做。


6)2021.05.25 18:33 

192.168.24.29(三次方的电脑)去解析了恶意域名www.fscoode.xyz被奇安信威胁情报抓到,证明已经三次方电脑已经中招。


7)2021.05.25 19:15

红先生通过客服赵六的电脑192.168.20.193,使用RDP登录了阿里云VPC的考勤。


8)2021.05.25 19:18

红先生在阿里云VPC考勤机植入恶意程序,该恶意程序会与恶意IP通讯1.13.0.155(长春腾讯),其中可疑的是执行了命令ping 172.31.116.174(公司老域控IP地址,这个地址已经很久没用并下线,没多少人知道)。


9)2021.05.25 21:39

查看阿里云考勤机172.31.117.35的shiro日志,也被反序列化打了 (这里发现当时阿里云考勤机的安全组配置有漏洞,入站方向的3389端口对办公网大段192.168.0.0/16是放开的,所以理论上攻击者拿到20.193权限后可以3389直接远程桌面到云上考勤机)。


10)2021.05.25 21:30左

有一些三次方的域账号登录错误日志,应该是拿到三次方电脑之后的拿域控权限之前的一些试探。


11)2021.05.25 21:53

红先生使用192.168.24.29三次方电脑使用administrator去考勤机验证成功,没什么价值;


12)2021.05.25 23:56:50

红先生三次方电脑192.168.24.29使用域控管理员账户adminsitrator成功登录办公网AD 192.168.24.253,域控管理员密码从桌面txt得知,为啥这里耗时这么久才登陆上域控,不好说,可能是因为等待半夜操作,也可能是红先生思路之前走偏。


13)2021.05.25 23:56:50

红先生使用三次方电脑用域管理员账号adminsitrator登录阿里云BAD172.21.243.99。


14)2021.05.25 23:59

红先生在办公网域控服务器192.168.24.253植入恶意程序,同时也触发了解析www.fscoode.xyz恶意域名的流量被奇安信威胁情报抓到,证明已经中招。


15)2021.05.26 00:13:53

红先生陆续通过三次方电脑192.168.24.29用域控管理员账户adminsitrator成功登录该公司多地分公司的子域及备域,后续还有很多的24.29登录线下域控的日志,到这里整个办公网域控全被拿下。


16)2021.05.26 01:28

红先生在阿里云VPC域控172.21.243.99植入恶意程序,并且也去解析了www.fscoode.xyz恶意域名,说明中招,同时云安全中心 01:31 172.21.243.99告警被植入恶意程序,相关的告警通过钉钉、短信发到安全部每位应急小组成员,其中包括蓝先生。就在这之后,荣队也接到告警并且电话立即通知蓝先生。


但那时,蓝先生手机静音着,熟睡中,但是为啥能及时知道电话来了,因为当时正好被小娃娃吵醒,就是这么巧合。

蓝先生:喂,荣队?(假装刚醒,其实看了告警心里清楚发生了啥)

荣队:你赶紧打开电脑应急下,我们域控貌似被攻破了!

蓝先生:啊?(又是一次假装不知道发生了啥,其实在想辙呢)

蓝先生:不好意思荣队,我家里没电脑,无法应急。

荣队:那麻烦你现在去趟公司吧,赶紧排查并且做些止血吧。

蓝先生:好的,我准备下。。。


这时是2022.05.26 凌晨一点多,然后就是日以继夜的排查和止血,最终溯源出来上述的攻击过程。


四、复盘与总结

当时蓝队的排查思路是:


1)当知道这次恶意程序解析的恶意域名(www.fscoode.xyz)之后,就开始着重在办公网威胁情报上排查最近1周去解析该域名的所有流量;


2)当然就排查到了赵六和三次方的电脑,知道赵六被中招之后就顺其自然联想到2021.05.25 14:06 赵六向蓝先生反馈过电脑中毒;而三次方的电脑也解析恶意流量,引起了蓝先生的足够重视,于是蓝先生开始重点排查三次方电脑,并及时对其电脑进行了隔离;


3)排查过程中,第一眼蓝先生就关注到了桌面上的“常用数据.txt”,因为蓝先生已经也做过类似的攻击,也有人把重要数据明文放在桌面。真的是一看吓一跳,运维人员把这么重要的文件放在桌面;


4)到这里,蓝先生及安全团队基本确定是三次方成为了拿下办公网域控的跳板,于是重点排查是如何从客服赵六攻到三次方的;


5)在经过不长时间的排查,小小天注意到之前2021.05.22 16:56的时候发现过三次方电脑存在shiro RCE。这时蓝先生就开始排查其电脑考勤打卡系统的所有日志,大约2小时左右找到从赵六电脑攻击三次方的日志。


到此,整个攻击路线就溯源完成。


上述整个过程可以明显知道办公网存在的漏洞:


1)终端层面:防病毒策略不严谨,导致办公网PC被钓鱼。员工加域电脑。权限控制不严格。


2)网络层面:该有的日志事后都能审计到,但是无法做到预警,例如奇安信几次发现的威胁情报事件、内网从红方通过赵六电脑对内网扫描的日志等,事后都能审计到。


3)权限管理:内网重要服务器的rdp、ssh没有做好访问控制和权限管控。还有办公网员工可以随意部署未经安全评估的系统等等。


4)安全意识:重要敏感信息写在txt并且放在桌面,IT人员将管理员密码给到运维同学,不合理;客服收到未知文件却私自打开。


5)安全人员失职:蓝先生收到客服人员反馈并没有做好合理的判断和措施;小小天提前进行渗透测试的发现的考勤打卡系统0day,并未进行整改。


以上任何一个环节重视到位或者前置的策略、运营到位,应该都能制止这次的攻击发生,至少可以提高红队攻击的难度。


公司后来召集各部门讨论的一些整改方案,可以供大家参考:


1)网络安全:

a.   威胁情报系统、防病毒等系统告警事件主动告警指定专人负责

b.   网络隔离:跨楼层、跨职场的高危端口隔离

c.   通过域控组策略下发防火墙规则封禁高危端口,对所有加域PC生效

d.   线下所有VM虚拟、服务器出网权限全部关闭,除必要的dns、updates

e.   威胁情报分析的流量,除了南北向,将东西向流量也纳入覆盖范围


2)终端安全:

a.   重新梳理加域PC安全基线,例如禁用USB、禁用软件安装权限等,梳理好灰度下发下去

b.   关于域控组策略,如果涉及到下发脚本的,严禁脚本中存在任何授权账号密码

c.   防病毒策略,针对VM服务器和加域PC,分别制定不同的严格防病毒策略,特别是这次打进来的Powershell木马相关策略


3)权限管控:

a.   梳理并整改内网终端的各项权限

b.   内网IT服务器等强制通过jumpserver跳板机的方式登录进行管控

c.   禁止员工私自在电脑部署非办公应用程序,特别是第三方应用程序


4) 安全意识培训:

a.   全员安全意识培训,形式有线上视频培训、海报、动态桌面壁纸分享等及安全意识考核

b.   敏感岗位如运维、网络、IT、安全等,进行线下培训、案例演示、现场攻防演练等方式宣导



原文始发于微信公众号(安世加):技术干货 | 安全技术之蓝队应急响应随笔

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年3月18日00:13:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  技术干货 | 安全技术之蓝队应急响应随笔 http://cn-sec.com/archives/832554.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: