目录
1. Prepare
1.1 开启日志记录
1.2 优化日志策略
2. Detect
2.1 运维发现
3. Contain
3.1 暂无需要遏制的事项
4. Eradicate
4.1 phpMyAdmin弱口令漏洞
4.2 Webshell后门
4.3 通过Webshell创建的后门
4.4 RDP弱口令漏洞
4.5 通过RDP创建的后门
4.6 未发现其他后门
5. Recover
6. Follow-Up
1. Prepare
1.1 开启日志记录
开启sysmon日志记录
开启apache日志记录
开启mysql日志记录
1.2 优化日志策略
优化security日志覆盖策略
2. Detect
2.1 运维发现
日常登录服务器,看到桌面的“masScan_1.6”文件夹,心中一片窃喜:来活了!
3. Contain
3.1 暂无需要遏制的事项
排查网络连接情况,没有需要处置的恶意网络连接。
排查进程情况,没有需要处置的恶意进程。
4. Eradicate
4.1 phpMyAdmin弱口令漏洞
排查apache日志,发现美国的IP地址91.246.37.127发起过两轮相同的自动化攻击,每轮约持续半分钟,各产生26条相同日志。
第一轮持续时间是2024年10月02日20时18分15秒至42秒,关键日志如下:
日志含义是:
1、登录phpMyAdmin
2、执行3个SQL语句,获得webshell
3、执行6个webshell命令
第二轮持续时间是2024年10月02日20时21分59秒至22分30秒,日志与第一轮相同:
由此可知,攻击者利用的漏洞是phpMyAdmin弱口令,修改为强口令即可。
4.2 Webshell后门
排查mysql日志,以及webshell文件,可知第一轮攻击执行的3个SQL语句是:
1、利用文件导出函数INTO OUTFILE写入webshell文件5d.php
2和3、利用mysql日志文件写入webshell文件dpvebhqgkc.php
继续排查webshell文件,可知第二轮攻击执行的3个SQL语句,与第一轮相同:
由此可知,攻击者主要遗留的webshell后门,是:5d.php、dpvebhqgkc.php、vvmbhvehak.php,直接删除就行。
4.3 通过Webshell创建的后门
排查sysmon日志,发现第一轮攻击执行的6个webshell命令,只有4个执行成功:
1、利用echo命令直接写入webshell文件5d.php;
2、同上
3、下载恶意程序,命名为gauexjqv.exe,并执行;
在执行gauexjqv.exe时,会执行C:5671.vbs脚本,但没找到该脚本,可能是gauexjqv.exe程序创建并执行然后删除了。
4、同上
继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图:
1、
2、
3、
4、
目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe进行分析。
分析结果:https://s.threatbook.com/report/file/bdf1b0b7678e470aa32df8b562aa0cda0e523148d81d203b25a25a819aa06e4c
其中以下行为是创建并执行然后删除C:5671.vbs脚本,与刚才的分析吻合。
恶意程序gauexjqv.exe将自身拷贝到其他目录下,需要找到并删除:
创建了启动恶意程序gauexjqv.exe的服务,但实际并未创建成功,需要找到并删除:
4.4 RDP弱口令漏洞
至此仍未发现与桌面的“masScan_1.6”文件夹相关的攻击行为,经排查发现这是两起独立的攻击事件。
排查security日志,发现湖北的IP地址111.180.207.58于2024年10月03日05时45分,成功登陆过4次Administrator账户。
且该IP地址存在大量爆破Administrator账户的记录,由此可判断攻击者是通过爆破弱口令获得了登录密码。
半小时后,伊朗的IP地址5.121.6.28于2024年10月03日06时12分,成功登陆过3次Administrator账户。该时间与桌面的“masScan_1.6”文件夹创建时间相差3分钟。
但是该IP地址并无登录失败记录,不像是爆破弱口令获得的帐号密码。由此可猜测,但也仅仅只是猜测,湖北IP爆破出Administrator密码后,交给了伊朗IP进行登录利用。
由此可知,攻击者利用的漏洞是RDP弱口令,修改为强口令即可。
4.5 通过RDP创建的后门
排查sysmon日志,发现攻击者首先部署了winpcap工具。
C:UsersAdministratorDesktopmasScan_1.6winpcap-4.13.exe
net stop npf
net start npf
然后使用masscan扫描互联网上开放了3389端口的服务器,注意这里的svchost.com是恶意程序。
"C:Windowssvchost.com""C:UsersADMINI~1DesktopMASSCA~1.6masscan.exe" -iL Input.txt -oL Output.txt --open --rate 1000000 -p3389 --exclude 255.255.255.255 --open-only
目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对恶意程序svchost.com进行分析。
分析结果:https://s.threatbook.com/report/file/8455d1832df2da3b327d6fb0e030643f5d5415fb3076c11ac05846c99421b88b
发现“文件默认打开程序”后门,需将注册表修改回来。
改回前:
改回后:
4.6 未发现其他后门
未发现自启服务后门
未发现自启程序后门
未发现系统用户后门
未发现计划任务后门
未发现WMI工具后门
5. Recover
不涉及
6. Follow-Up
不涉及
原文始发于微信公众号(OneMoreThink):应急实战(9):一次简简单单的应急
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论