一次无语的应急

前提概要

周日下午，领导通知我说客户已经被打穿，让我帮忙应急响应，客户集团是在某地市攻防范围内，所以是确定为他们被打来当跳板去扫描了，其实发现被打穿是因为ad域控等服务器被当跳板去扫描，扫到集团那里了，集团通报了才发现，因为客户只有一台全流量，没有其他的安全设备。

正文

梳理情况

客户给我todesk远程桌面，我连上去看安全设备全流量日志，当时客户已经做了一定的溯源，了解到最初的攻击入口是VPN被爆破弱口令登录进来，然后打了一个nacos，因为那台nacos被拿来当跳板去扫描了，所以他们判断是通过这台nacos打的AD域，然后再拿AD域去当跳板进行扫描。

客户的想法是清理所有被打的服务器后门，目前他们只知道AD域服务器和nacos服务器被打了，这两台已经禁止出网了，其他的不清楚，所以还是需要我去走一遍分析。

全流量日志分析

由于只有一台设备全流量，已知是通过99和105这两台VPN来打的入口，而且是近两天内打的情况，我先查看了近两天内的风险，发现除了nacos（120）和AD域控（21）这两台被当跳板去扫描之外，还有一台终端（35）去当跳板扫描，先确认已知跳板的情况，让客户实施阻断策略。

然后我开始通过全流量日志进行查询这两台VPN打了什么服务器，一步一步追溯上去，通过命令(sip=99 or sip=135)来查询近两天内他访问了什么流量，当然我是确认了这两天VPN只有攻击者在用，没有其他的人在用，这样就排查误差的情况。通过查看流量我发现他访问一堆站点的主目录和favicon.ico等情况，明显是指纹识别，可以先排除，剩下的只有几百条数据，比较幸运。查看他是打了nacos，发现了nacos权限绕过漏洞的数据包，这个跳过，之前已经被客户确认了。还发现了一个亿赛通的登录成功流量，以及一个帆软的系统被打情况，有看到加密流量，所以判断这两个被打，当时很晚了，没继续去查这两个被什么漏洞打的，客户只是要求找出哪些服务器被打了。查了一下这两台服务器没有发现被当跳板情况，所以暂时不管往下走了。

windows日志分析

梳理了nacos这台，也没发现打了什么服务器，由于流量被部署到核心区域，也没有和AD域控服务器的流量交互，难顶。直接上AD域控服务器下载windows日志排查了，想看看怎么被打的，然后他怎么打的35这台终端，这时候开始了漫长的日志审计。

首先用LogParser Lizard（工具下载地址https://www.lizard-labs.com/log_parser_lizard_download.aspx），这是一个图形化windows等多种日志分析工具，我先用它来分析，没想到直接打开报错了。

利用open file打开windows日志evtx，然后直接run对应的查询语句，这时候会有报错

需要选择设置，选择input输入的格式，选中evtx log这个windows日志格式选项，然后点击查询就正常了，不过这个工具的使用查询不好排序和筛选，由于日志较多，我用了logparser这个工具。

logparser（下载地址https://www.microsoft.com/en-us/download/details.aspx?id=24659 ）这个工具只是个命令行模式，需要用到一些特殊的命令，由于我导出的security日志有200多万条太大了，还得我通过windows本机的事件查看器打开重新保存两天内的日志量，这时仅剩35万条。

如果要用网上查看的命令，全都是LogParser.exe -i:EVT –o:DATAGRID +查询语句，这个我只能看到10行，而且他这个命令只是输出一个数据流，看这个还不如LogParser Lizard。我使用的是LogParser.exe -i:EVT -o:C:\logsall_logs.csv "SELECT * FROM C:\logssecurity.evtx" -q:ON，这样导出表格之后，我就可以用wps进行筛选梳理了，35万条数据太大了别用office，卡崩好几次，无语。

由于主机AD域控那台服务器是2016，由于没有打对应的补丁，当时我们都怀疑是zerologon的漏洞，然后通过https://xz.aliyun.com/t/8367判断如果打了zerologon是会存在事件4742或5805的，上面截图可以看到并没有相关的事件，问了群里的大哥，给了文章https://www.exabeam.com/blog/siem-trends/detecting-zerologon-cve-2020-1472-using-exabeam-data-lake/，里面介绍4724重置密码也会，但是我看了上面重置密码是管理员重置普通用户的成功事件，zerologon是通过重置DC的密码为空获得域管用户的hash来登录，所以基本可以确定不是zerologon打的了。

结局

到这里一度很头疼，最后是通过分析之前vpn打的亿赛通或帆软，密码撞库拿下的域管，无语了，前面分析浪费时间，果然没设备就很搞，通过日志去看太麻烦了，光登录审核成功的就几万条。还好攻击者把扫描结果放到服务器上了，通过扫描去排查了，估计是断网太快，他没来得及维权和清除。

原文始发于微信公众号（安全学习之路）：一次无语的应急