免责声明:由于传播、利用本公众号李白你好所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号李白你好及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
文章作者:奇安信攻防社区(苏苏的五彩棒)
文章来源:https://forum.butian.net/share/3664
1►
溯源案例一
1.2、上机排查
2、根据态感的告警时间排查日志,发现文件上传
排查发现反弹shell,IP与CS外联地址一致
1.3、溯源
{
repository(name: "name",owner: "test1278"){
ref(qualifiedName: "master"){
target{
... on Commit {
id
history(first: 5) {
edges {
node {
author {
name
}
}
}
}
}
}
}}}
查询到攻击者的QQ号
通过API接口查询QQ号绑定的手机号4、通过手机号加钉钉好友,发现名字,想通过支付宝转帐猜解姓氏,但是目标把支付宝搜索关闭了 只能发动群众力量在微信中搜索微信昵称,最终在一个客户群中发现该名攻击者,确实是某厂的工程师。 XX厂商 XXX邀请攻击者加入了群聊 1.4、总结
2►
溯源案例二
2.1、排查 1、在某次攻防演练中,笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后,笔者惊讶地发现,客户唯一的安全设备是一台防火墙。在这种情况下,只能依赖这台防火墙进行深入的排查。 在与客户进行了初步的交流后,他们指出了几台可能存在问题的服务器。在登录这些服务器后,发现都运行着Tomcat服务。于是,笔者决定从Tomcat的日志文件中寻找线索。 2、经过长时间细致的排查,发现从凌晨0时39分起有大量的异常扫描行为 在凌晨0时40分发现struts2命令执行漏洞被利用成功。 在另一台服务器发现,凌晨2时02分万户ezOFFICE smartUpload.jsp 任意文件上传漏洞被执行成功。 3、在 Tomcat日志上显示的XXX.XX.1.142为F5转化后的地址,在防火墙上查看真实攻击IP为XXX.XXX.X.91。 但是在威胁情报平台并未查到有效信息 4、在受害主机上发现了frp以及fscan,frp远控服务器地址XXX.XXX.72.91 域名反查,找到一个疑似域名所有者姓名的域名,但是搜索域名并未找到更多信息。 5、天无绝人之路,在另一台受害主机上找到了更多信息。KSA.dat(看雪安全接入)是一款傻瓜式的一键接入私有网络的工具
在KSA.log找到了更多的攻击者服务器地址,其中有个XXX.XX.XXX.872.2、溯源
1、对XXX.XX.XXX.87进行域名反查,发现存在备案人姓名(不是,真有人实名上网啊) 2、对域名解析IP为XXX.XX.XXX.87,证明现为攻击者所有 通过搜索引擎搜索,侧面证明为安全从业者 网站80端口为nps服务 3、XXX.XX.XXX.87的数字证书显示颁发者和使用者均为xxx,和备案人的姓氏是相同的
4、对xxx进行搜索,发现其csdn账号通过CSDN的密码找回功能,爆破手机号 成功爆破出手机号181****0865 并且在gitee中也找到手机号:181****0865,QQ等信息。
5、使用百度云盘的找回账号的功能,输入服务器IPXXX.XX.XXX.87,可以看到手机号后四位和CSDN手机号后四位是一样的,可以确定为同一人所属。使用181****0865进行支付宝转账认证,也可确认为同一人所属。2.3、总结
本次于应急的难点在于客户那边没有除了防火墙外的安全设备,寻找入口点消耗了大量时间,只能一个个看日志文件,找到入口点锁定了受害主机后寻找入侵痕迹,从反代软件的日志中找到了外联服务器IP,从IP数字证书找到了用户常用昵称,搜索找到了CSDN账号,爆破获得手机号,域名备案人锁定了真实姓名,反向印证同一人。只是可惜没有找到明确的单位。 3►
原文始发于微信公众号(李白你好):记两次内网入侵溯源的真实案例
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论