情况描述
省hvv期间,发生的一起内网OA服务器沦陷,横向移动事件,个人认为是最适合拿来当成应急响应与攻击路径溯源的真实案例
攻击监测
起初由蜜罐设备发现异常攻击,经过监测,发现是内网OA服务器于深夜对内网部署的蜜罐主机进行漏洞利用等攻击,行为严重异常,同时发现一台用户系统服务器主机也进行了类似的攻击行为,最为可疑的是异常主机与服务器都访问的蜜罐内网地址,初步考虑OA服务器与用户系统主机已经沦陷。
审查威胁态势感知系统的日志发现OA服务器一直处于被攻击状态虽然攻击结果显示未成功但是很可能已经沦陷
但是在防火墙上却并没有记录
应急响应
紧急关闭OA服务器和用户系统服务器主机的外网服务连接,防火墙对访问这两个ip地址的外网ip进行封禁。(记得与驻守单位运维人员保持沟通,由于OA服务器为驻守单位重要服务资源,单位运维人员反映不可断网,所以只能关闭外网服务)
定位服务器上的木马文件
先对OA服务器进行进程筛查和文件修改筛查,以及最后登录用户筛查
定位到5月29日创建的木马文件,经过判断f1,f2和dd文件为病毒文件,fs.py和fs1.py为扫描脚本
定位用户系统服务器主机上webapp目录下有shell.jsp木马文件
服务器木马文件清理,可疑登录用户清理
攻击路径溯源
攻击路径溯源(总体)
红队攻击人员通过访问nginx服务器代理访问——外网OA系统作为入口点进入子公司内网OA服务器主机并查看了泛微数据库配置文件信息及/etc/shadow文件——进而通过横向漏洞探测其他子公司资产并成功利用tomcat弱口令漏洞对用户附属管理系统的主机部署了shell.war成功getshell并通过docker逃逸获取主机权限---对多个ip地址段进行扫描及漏洞探测
其中被漏洞利用用户管理系统作为新跳板机,对展示大屏系统等内网主机漏洞利用
重点成果应急:泛微服务器沦陷应急响应,用户管理系统getshell应急响应
攻击ip威胁情报
攻击路径溯源
(1)经过对OA服务器主机排查,发现入侵记录,怀疑5月29日21:11分OA登录,确认OA服务器已被攻破,OA服务器权限已被拿取
经过排查,发现了攻击者查看了泛微的数据库配置文件及/etc/文件以及authorized_key文件,并且对OA服务器放置了木马文件并扫描了内网主机
经过后续发现,weaver.proerties为OA数据库配置文件,继续排查,发现内网代理,代理地址175...,推测为攻击者ip
Result.txt经过查看为内网扫描结果
(2)推测攻击者通过此文件找到用户附属管理系统,并疑似利用tomcat弱口令漏洞横向移动打击此系统并且移动成功,进而对该系统进行目录和日志文件排查后发现了部署的shell.war包以及shell.jsp文件
定位到打击manger,推测是tomcat的war包部署攻击方式
后续经过运维排查,证实了tomcat账号存在弱口令,所以攻击者利用此漏洞部署了shell.war包,上传了shell.jsp,由于tomcat是部署在docker环境下,故推测docker逃逸,但通过对tomcat的日志审查,发现是用户管理系统攻击成功执行了shell.jsp
(3)排查用户管理系统服务器主机
发现OA服务器主机在5月29日的22:00左右登录了用户管理系统服务器主机,用户附属管理系统服务器主机在5月29日00:00登录了用户管理系统服务器主机,但是在用户附属管理系统服务器主机上却没有发现可疑的登录记录
经过运维排查,用户附属管理系统也部署了tomcat服务,也存在弱口令漏洞,推测用户管理系统和用户附属管理系统都是被此漏洞攻击
横向成果分析处置
泛微OA主机沦陷,通过tomcat弱口令漏洞打入用户附属管理系统作为新跳板机,对蜜罐及展示大屏系统等主机尝试漏洞利用
紧急关闭展示大屏系统,对主机上的木马文件进行清除,修改tomcat弱口令
护网前建议
-
梳理公司外部资产和内部资产和驻场工程师进行沟通看是否有整改意见进行整改
-
对业务进行弱口令探测,禁止弱口令的存在
-
组织人员进行模拟进攻,及时发现薄弱系统并修补
-
尽可能的清洗公网暴露的公司人员信息
-
做好员工安全意识培训,不点击不信任邮件、浏览不信任网页等操作
-
个人终端和业务端进行隔离
-
最好是7*24小时值守,保不住红队欧巴会夜间攻击(常态化手段)
原文始发于微信公众号(7coinSec):记一次hvv真实应急响应与攻击路径溯源
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论