记一次内网失陷的应急响应

admin 2021年4月24日20:18:36评论118 views字数 2385阅读7分57秒阅读模式

这是 酒仙桥六号部队 的第 128 篇文章。

全文共计2350个字,预计阅读时长7分钟


1
前言

某日正在等待愉快的下班,突然被拉到某个群里,客户昨晚上架了一台态势感知设备,然后发现内网十几台服务器存在异常,有反弹shell,有被上传webshell的。需快速展开应急。

看来又是一个不眠夜,在前往客户现场的途中,建议了客户隔离受害主机、封禁恶意IP、限制webshell访问权限等操作,来阻止危害进一步扩大。


2
现场应急

到达现场,首先看了看反弹shell的172.x.x.172服务器。分析网络连接,在查找对应进程,看到是定时任务反弹shell。

记一次内网失陷的应急响应

既然是定时任务反弹,那么查看定时任务日志,先确认下入侵时间,看到最早的反弹日志是7月2日2点35分。

记一次内网失陷的应急响应

一般来说都是通过ssh或者部署的应用入侵linux服务器,首先看了secure日志,没发现问题。那么看看应用,发现部署了jboss,版本为4.0.5.GA,该版本存在如CVE-2017-7504等反序列化漏洞。

记一次内网失陷的应急响应

看了部署的war包的时间,基本确认是通过jboss入侵的。7月2日2时24分上传的。

记一次内网失陷的应急响应

与运维人员确认服务器不出网,那么攻击者在内网肯定有跳板,但发现Jboss默认不开启access日志,那么上一跳的线索这里就断了。

看看history吧,也许有下一跳的线索。很遗憾,除了反弹shell,只进行了密码搜集。

记一次内网失陷的应急响应

上下跳的线索都断了,只能从头开始排查其他服务器。

马上转战了告警存在webshell的tomact的服务器,。看了下访问日志,大量访问登录日志,应该是爆破进的tomact后台,但发现都是172.x.x.20。前面有台nginx,不过幸好nginx开启了access日志。获取了访问webshell的IP 172.x.x.160。然后确认了172.x.x.160是主域控。

记一次内网失陷的应急响应

马上登录上主域控进行排查,查看杀毒告警看到了frpc的名字。没错就是那个内网穿透工具,查看相应文件目录下的frpc.ini。看到服务器配置的IP为47.x.x.119。

记一次内网失陷的应急响应

另一个隔离文件help[1].xls,看了一下,一个shellcode的加载器,代码逻辑和powersct.sct基本一致。发给后端的同学详细看了,加载的是CS的shellcode,CS server是47.x.x.119。

记一次内网失陷的应急响应

(中间的base64就省略了)

记一次内网失陷的应急响应

在杀软信任区还看到了mimi.exe,文件不在了,但通过名字推测应该就是mimikatz。

记一次内网失陷的应急响应

由于安全日志被删了,最终在远程登录日志,发现攻击者是直接通过远程桌面进来的,登录IP 172.x.x.115,登录时间7了月1日23点04。

记一次内网失陷的应急响应

与运维人员确认172.x.x.115是堡垒机,同样堡垒机并不出网。接下来通过分析堡垒机的登录日志及操作录屏,确认了攻击者的攻击范围,以及可疑的登录用户,及登录时间。

可疑用户:XX,登录IP:172.x.x.159。

IP:172.x.x.159为VPN 服务器,排查XX登录记录,发现该用户在7月1日17时49分确实存在可疑的登录记录。但是是1次登录成功的,并没有密码修改或被爆破的现象,那么不是VPN有漏洞,就是密码被泄漏了。

记一次内网失陷的应急响应

查看了VPN的详细版本,没有发现已公开的漏洞,感觉密码泄漏的可能性比遭遇0day要大很多。先排查密码泄漏吧。

对用户进行了访谈,用户说最近领导收到了可疑邮件,让他看看来着,会不会那封邮件呢?

去用户办公主机上自己排查,首先在桌面就看到了密码本.txt。

可疑邮件的附件为公司资质.zip,拷贝出来进行分析。压缩包里面的文件为:

记一次内网失陷的应急响应

这里攻击者利用了Windows默认的设置是隐藏已知文件类型的扩展名的特性,如果没有进行设置,用户看到的名称是“公司资质.doc”。

放到沙箱里跑了一下,会释放恶意DLL3[1].DLL文件,并运行回连CS Server 43.x.x250:53535

记一次内网失陷的应急响应

记一次内网失陷的应急响应

因为会释放文件,到用户的办公机相应的目录下看下是否存在相应的文件,以判断是否运行。果然还是运行了,文件创建时间7月1日 17:27。

记一次内网失陷的应急响应

至此攻击路径基本溯源完成,一起通过钓鱼邮件打穿内网的典型案例。

记一次内网失陷的应急响应


3
后续

当准备分析攻击IP,进行溯源时。客户说他们总部最近在攻防演练,那两个IP是攻击队的IP,且此时攻防演练已经结束,不用溯源了。但又发现3封钓鱼邮件,让帮忙分析下。

第一封是在排查过程的发现,但没有反馈给我。看了一下附件内容。

记一次内网失陷的应急响应

经典的白加黑,最早被发现应用在海莲花的攻击手段中,通过劫持word的wwlib.dll,加载恶意shellcode。菜鸡的我不会动态调试,让实验室大佬看了下,又是加载CS的shellcode。

记一次内网失陷的应急响应

其他两封应该是攻防演练结束后,总部对于人员安全意识的提醒。

一封的附件是带有宏的“网络安全基础知识应知应会大全.doc”,运行会释放pfish.exe,将运行后的用户主机信息上传到C&C的mysql中。

记一次内网失陷的应急响应

本来想秀波反制,但发现攻击队的大佬权限设的比较死就放弃了。。。

然后发现还是有几个用户中招了,看来只要社工技术好,总有鱼儿会上钩。

记一次内网失陷的应急响应

另一封则是说证书更新的邮件,钓鱼页面克隆了客户的某个应用。反汇编下,看到大量Py开头的函数,应该是python打包的exe,用uncompyle6反汇编,得到了源文件。通过访问C&C的端口,获取运行钓鱼邮件的主机用户名。

记一次内网失陷的应急响应

至此本次应急响应结束。


4
加固建议

1、 提高工作人员网络安全意识 ,任何邮件中可疑附件,做到不双击、不运行、不解压、不信任态度。

2、 使用邮件网关对钓鱼邮件、垃圾邮件进行拦截,对邮件附件、病毒邮件进行 检测拦截。

3、 修改相关弱口令以及已泄漏的口令。

4、 WEB 应用配置访问日志,以便进行 WEB 漏洞利用等类型攻击的分析溯源。

5、 VPN 及堡垒机添加动态二次验证,如手机验证码验证等。

6、 对存在漏洞的应用进行升级加固。


记一次内网失陷的应急响应

记一次内网失陷的应急响应

本文始发于微信公众号(酒仙桥六号部队):记一次内网失陷的应急响应

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月24日20:18:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   记一次内网失陷的应急响应https://cn-sec.com/archives/204634.html

发表评论

匿名网友 填写信息