【HVV】记一次蓝队溯源&应急响应

admin 2022年7月17日22:04:13评论412 views字数 1042阅读3分28秒阅读模式

前言:

hvv准备开始了,国护、省护应该都在提前准备工作了。这次记一次今年4月份遇到的一次比较棘手的应急事件。希望这篇文章能对今年面试初级蓝队的师傅,或者第一次做蓝队的师傅有所帮助。


正文:

【HVV】记一次蓝队溯源&应急响应

一天早上刚吃完早餐 正准备打瞌睡,结果WAF告警就响个不停哇。

一个名为spread的php webshell马子

立马把流量包下载下来分析

【HVV】记一次蓝队溯源&应急响应

看着这流量也挺眼熟,确实是蚁剑的流量

url解密看下流量中有什么重要的信息

【HVV】记一次蓝队溯源&应急响应

【HVV】记一次蓝队溯源&应急响应

这个攻击者好像除了骂了两句360就没留下什么信息了,想着还以为他会用自己ID做密码之类的【HVV】记一次蓝队溯源&应急响应

看其他流量好像是木马没连接成功,最后复现一遍看看马子是否存在,小心使得万年船。

【HVV】记一次蓝队溯源&应急响应

当时这个攻击者不单止用了蚁剑,我们还发现了中国菜刀、Xise Webshell管理工具这些流量

【HVV】记一次蓝队溯源&应急响应

【HVV】记一次蓝队溯源&应急响应


经核实,我们一一去复现,发现shell根本没get上来,虚惊一场。

顺着攻击者IP查寻发现是华为云的机器

【HVV】记一次蓝队溯源&应急响应

ip:163.63.*.*上海华为云

在微步上查询情报,再深一步追溯

【HVV】记一次蓝队溯源&应急响应

看了一下历史解析的域名和最近解析的域名只有两条,查起来就不费劲了。

【HVV】记一次蓝队溯源&应急响应

拿到域名后查下有没有备案信息。

【HVV】记一次蓝队溯源&应急响应

经过注册人邮箱反查,查出这家公司注册了好几个域名

【HVV】记一次蓝队溯源&应急响应

国内好多域名反查的站点都屏蔽了一些信息,导致邮箱看不全。

之后是用domaintools查出域名注册的QQ邮箱,domaintools是国外的站点,网络慢建议挂个节点上去。

https://whois.domaintools.com/

【HVV】记一次蓝队溯源&应急响应

既然到此,拿到邮箱就结束了吗?我会是那种人吗?接着上TG一抓一大把社工库再查手机号。(TG截图忽略,有点小违规)

通过了其他思路也没查到该人照片,有点小失望。

【HVV】记一次蓝队溯源&应急响应

最终是拿到QQ和微信了


【HVV】记一次蓝队溯源&应急响应

微信

【HVV】记一次蓝队溯源&应急响应


小结:猜测这台华为云的机器估计是被攻击者利用成代理,也不排除其他因素。这次溯源还是比较模糊的。



事件2:

当天还有微机房的几台机子被中了远控木马,真的是头皮发麻

【HVV】记一次蓝队溯源&应急响应

第一反应还是下载了这个木马,访问木马地址的时候发现了一个很眼熟的logo,这**不是HFS吗?

【HVV】记一次蓝队溯源&应急响应

流量监控发现是有人在微机房访问了这个地址下载的远控马子【HVV】记一次蓝队溯源&应急响应

whois查到域名是在狗爹上买的。

【HVV】记一次蓝队溯源&应急响应

域名查不到什么信息,把下载下来的病毒扔到沙箱康康。

【HVV】记一次蓝队溯源&应急响应

【HVV】记一次蓝队溯源&应急响应

域名,服务器全是国外的,难溯源,之后查到木马指向的IP,查看到了一条公开的情报。

【HVV】记一次蓝队溯源&应急响应

大概看了这条公开的情报

产生了怀疑

难不成又是印度阿三?


最终溯源无果,还是放弃了溯源,采取了应急手段了【HVV】记一次蓝队溯源&应急响应

【HVV】记一次蓝队溯源&应急响应



欢迎关注公众号:Cubs i安全

ps:后期公众号可能要改名了,师傅们先关注哈【HVV】记一次蓝队溯源&应急响应


原文始发于微信公众号(寻云安全团队):【HVV】记一次蓝队溯源&应急响应

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月17日22:04:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【HVV】记一次蓝队溯源&应急响应https://cn-sec.com/archives/1182474.html

发表评论

匿名网友 填写信息