前言:
hvv准备开始了,国护、省护应该都在提前准备工作了。这次记一次今年4月份遇到的一次比较棘手的应急事件。希望这篇文章能对今年面试初级蓝队的师傅,或者第一次做蓝队的师傅有所帮助。
正文:
一天早上刚吃完早餐 正准备打瞌睡,结果WAF告警就响个不停哇。
一个名为spread的php webshell马子
立马把流量包下载下来分析
看着这流量也挺眼熟,确实是蚁剑的流量
url解密看下流量中有什么重要的信息
这个攻击者好像除了骂了两句360就没留下什么信息了,想着还以为他会用自己ID做密码之类的
看其他流量好像是木马没连接成功,最后复现一遍看看马子是否存在,小心使得万年船。
当时这个攻击者不单止用了蚁剑,我们还发现了中国菜刀、Xise Webshell管理工具这些流量
经核实,我们一一去复现,发现shell根本没get上来,虚惊一场。
顺着攻击者IP查寻发现是华为云的机器
ip:163.63.*.*上海华为云
在微步上查询情报,再深一步追溯
看了一下历史解析的域名和最近解析的域名只有两条,查起来就不费劲了。
拿到域名后查下有没有备案信息。
经过注册人邮箱反查,查出这家公司注册了好几个域名
国内好多域名反查的站点都屏蔽了一些信息,导致邮箱看不全。
之后是用domaintools查出域名注册的QQ邮箱,domaintools是国外的站点,网络慢建议挂个节点上去。
https://whois.domaintools.com/
既然到此,拿到邮箱就结束了吗?我会是那种人吗?接着上TG一抓一大把社工库再查手机号。(TG截图忽略,有点小违规)
通过了其他思路也没查到该人照片,有点小失望。
最终是拿到QQ和微信了
微信
小结:猜测这台华为云的机器估计是被攻击者利用成代理,也不排除其他因素。这次溯源还是比较模糊的。
事件2:
当天还有微机房的几台机子被中了远控木马,真的是头皮发麻
第一反应还是下载了这个木马,访问木马地址的时候发现了一个很眼熟的logo,这**不是HFS吗?
流量监控发现是有人在微机房访问了这个地址下载的远控马子
whois查到域名是在狗爹上买的。
域名查不到什么信息,把下载下来的病毒扔到沙箱康康。
域名,服务器全是国外的,难溯源,之后查到木马指向的IP,查看到了一条公开的情报。
大概看了这条公开的情报
产生了怀疑
难不成又是印度阿三?
最终溯源无果,还是放弃了溯源,采取了应急手段了
欢迎关注公众号:Cubs i安全
ps:后期公众号可能要改名了,师傅们先关注哈
原文始发于微信公众号(寻云安全团队):【HVV】记一次蓝队溯源&应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论