-
Prepare -
开启系统日志记录 -
开启中间件日志记录 -
开启数据库日志记录 -
Detect -
华为云告警 -
Contain -
切断主机网络 -
终止恶意进程 -
删除恶意程序 -
Eradicate -
清除自启服务后门 -
未发现其他后门 -
漏洞入口排查修复 -
Recover -
恢复主机网络 -
恢复系统配置 -
Follow-Up -
优化日志策略 -
提高应急时效
1. Prepare
1.1 开启系统日志记录
开启sysmon日志记录
1.2 开启中间件日志记录
开启apache日志记录
1.3 开启数据库日志记录
开启mysql日志记录
2. Detect
2.1 华为云告警
2024年09月28日09时37分,华为云产生告警:VPS存在对外攻击行为,需在24小时内处理。
3. Contain
3.1 切断主机网络
2024年09月29日17时08分,因逾期未处理,VPS被华为云断网。
VPS已断网,只能通过华为云提供的内网VNC方式登录。
定位对外攻击的进程ID:
netstat -nao
通过进程ID,定位恶意程序:
wmic process where processid=76656 get name,processid,parentprocessid,executablepath,commandline,creationdate /format:list
恶意程序一:C:Windowssystem32Runtime.exe
恶意程序二:C:Windowssystem32nssm.exe
3.2 终止恶意进程
3.3 删除恶意程序
4. Eradicate
4.1 清除自启服务后门
4.2 未发现其他后门
未发现自启程序后门
未发现系统用户后门
未发现计划任务后门
未发现WMI工具后门
4.3漏洞入口排查修复
排查security日志,由于华为云的主机安全产品产生大量日志(34393/34485=99.73%),导致无法进行有效溯源。
排查sysmon日志,第一条可疑日志是进行系统信息收集,未定位到漏洞利用痕迹。
排查apache日志,未发现异常。
排查mysql日志,未发现异常。
通过mimikatz,发现系统用户存在弱口令,猜测是被攻击者爆破弱口令后登录系统。
对系统弱口令帐号进行修复。
5. Recover
5.1 恢复主机网络
提供整改截图给华为云,申请解封VPS。
5.2 恢复系统配置
排查sysmon日志,发现攻击者:1.禁用了管理员的用户同意提示;2.将 PowerShell 执行策略设置为无限制,允许运行所有脚本。该配置较为危险,需恢复。
排查sysmon日志,发现攻击者:1.将rdp端口改为非标端口,相对更安全,因此保留该配置。2.关闭Windows防火墙,该配置较为危险,需恢复。
6. Follow-Up
6.1 优化日志策略
优化security日志覆盖策略
禁用华为云的主机安全产品的security日志记录
6.2 提高应急时效
提高应急响应时效以避免VPS被断网
原文始发于微信公众号(OneMoreThink):应急实战(8):一次平平无奇的应急
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论