应急实战(8):一次平平无奇的应急

admin 2024年10月2日12:19:33评论19 views字数 1198阅读3分59秒阅读模式
  1. Prepare
    1. 开启系统日志记录
    2. 中间件日志记录
    3. 开启数据库日志记录
  2. Detect
    1. 华为云告警
  3. Contain
    1. 切断主机网络
    2. 终止恶意进程
    3. 删除恶意程序
  4. Eradicate
    1. 清除自启服务后门
    2. 未发现其他后门
    3. 洞入口排查修复
  5. Recover
    1. 恢复主机网络
    2. 恢复系统配置
  6. Follow-Up
    1. 优化日志策略
    2. 提高应急时效

1. Prepare

1.1 开启系统日志记录

开启sysmon日志记录

应急实战(8):一次平平无奇的应急

1.2 开启中间件日志记录

开启apache日志记录

应急实战(8):一次平平无奇的应急

1.3 开启数据库日志记录

开启mysql日志记录

应急实战(8):一次平平无奇的应急

2. Detect

2.1 华为云告警

2024年09月28日09时37分,华为云产生告警:VPS存在对外攻击行为,需在24小时内处理。

应急实战(8):一次平平无奇的应急

3. Contain

3.1 切断主机网络

2024年09月29日17时08分,因逾期未处理,VPS被华为云断网。

应急实战(8):一次平平无奇的应急

VPS已断网,只能通过华为云提供的内网VNC方式登录。

应急实战(8):一次平平无奇的应急

定位对外攻击的进程ID: 

netstat -nao

应急实战(8):一次平平无奇的应急

通过进程ID,定位恶意程序: 

wmic process where processid=76656 get name,processid,parentprocessid,executablepath,commandline,creationdate  /format:list

应急实战(8):一次平平无奇的应急

恶意程序一:C:Windowssystem32Runtime.exe

应急实战(8):一次平平无奇的应急
应急实战(8):一次平平无奇的应急

恶意程序二:C:Windowssystem32nssm.exe

应急实战(8):一次平平无奇的应急

应急实战(8):一次平平无奇的应急

3.2 终止恶意进程

应急实战(8):一次平平无奇的应急

3.3 删除恶意程序

应急实战(8):一次平平无奇的应急

4. Eradicate

4.1 清除自启服务后门

应急实战(8):一次平平无奇的应急

4.2 未发现其他后门

未发现自启程序后门

应急实战(8):一次平平无奇的应急

未发现系统用户后门

应急实战(8):一次平平无奇的应急

未发现计划任务后门

应急实战(8):一次平平无奇的应急

未发现WMI工具后门

应急实战(8):一次平平无奇的应急

4.3漏洞入口排查修复

排查security日志,由于华为云的主机安全产品产生大量日志(34393/34485=99.73%),导致无法进行有效溯源。

应急实战(8):一次平平无奇的应急

排查sysmon日志,第一条可疑日志是进行系统信息收集,未定位到漏洞利用痕迹。

应急实战(8):一次平平无奇的应急

排查apache日志,未发现异常。

应急实战(8):一次平平无奇的应急

排查mysql日志,未发现异常。

应急实战(8):一次平平无奇的应急

通过mimikatz,发现系统用户存在弱口令,猜测是被攻击者爆破弱口令后登录系统。

应急实战(8):一次平平无奇的应急

应急实战(8):一次平平无奇的应急

对系统弱口令帐号进行修复。

应急实战(8):一次平平无奇的应急

5. Recover

5.1 恢复主机网络

提供整改截图给华为云,申请解封VPS。

应急实战(8):一次平平无奇的应急
应急实战(8):一次平平无奇的应急

应急实战(8):一次平平无奇的应急

5.2 恢复系统配置

排查sysmon日志,发现攻击者:1.禁用了管理员的用户同意提示;2.将 PowerShell 执行策略设置为无限制,允许运行所有脚本。该配置较为危险,需恢复。

应急实战(8):一次平平无奇的应急

应急实战(8):一次平平无奇的应急

排查sysmon日志,发现攻击者:1.将rdp端口改为非标端口,相对更安全,因此保留该配置。2.关闭Windows防火墙,该配置较为危险,需恢复。

应急实战(8):一次平平无奇的应急

应急实战(8):一次平平无奇的应急

6. Follow-Up

6.1 优化日志策略

优化security日志覆盖策略

应急实战(8):一次平平无奇的应急

禁用华为云的主机安全产品的security日志记录

应急实战(8):一次平平无奇的应急

6.2 提高应急时效

提高应急响应时效以避免VPS被断网

应急实战(8):一次平平无奇的应急

原文始发于微信公众号(OneMoreThink):应急实战(8):一次平平无奇的应急

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月2日12:19:33
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急实战(8):一次平平无奇的应急https://cn-sec.com/archives/3228040.html

发表评论

匿名网友 填写信息