从事网安行业避免不了在重大活动保障期间参与保障值守工作,露洁也不例外,每到重保特殊时期总会忙着盯一些态势感知、WAF等各类平台,作为所谓的“网络安全保障人员”参与其中。
近期EDR服务端持续监测到内网某主机每隔一小时收到异常告警,尝试通过 powershell执行下载恶意文件,疑似被黑客入侵。与业务负责人及运维厂家协调沟通,拿到授权后登录服务器开展排查分析。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
0x01.初步排查
通过 net user 命令列出当前所有用户,未发现可疑账户。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
命令行下输入:
reg query HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
通过 netstat -ano 命令列出当前网络连接情况,未发现异常连接。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
运行中输入 regedit 进入注册表编辑器,定位到
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
当前注册表run下只涉及海康、主机防护EDR两个自启动程序,未发现无异常。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
控制面板-管理工具-计划任务中存在一个User_Feed_Synchronization的计划任务,调用程序 msfeedssync.exe 。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
核实 msfeedssync 是微软Internet Explorer(7和8)的RSS(被称作“源”)更新程序。当更新订阅的RSS时,即会调用此进程。上传威胁分析平台,未发现异常情况。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
由于该主机没有安装其余杀毒软件,利用EDR主机防护Agent开展全盘扫描,只检测到一个可疑风险。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
同时根据前期扫描记录发现名称为“m”隐藏文件夹,残留有一个可疑文件,将文件上传至威胁分析平台,提示挖矿软件。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
根据前期掌握信息,前期运维人员已开展过EDR全盘扫描,将下图所示的该批病毒木马清除,但截止到目前相关告警仍在持续产生。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
0x02.借助工具二次排查
利用火绒剑精确核查,发现可疑进程1sass.exe 、 lsass.exe 。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
定位到实际目录却未发现文件,取消“隐藏受保护的操作系统文件”选项后,发现可疑文件。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
打开 config.json 文件,确认为相关挖矿信息。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
进入系统服务管理界面,发现可疑服务,且服务名称与实际系统服务名称类似,起到诱惑管理员作用。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
将 1sass.exe 、 lsass.exe 上传到平台,分析均存在风险点。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
其中 csrss.exe 指向URL与EDR终端监测到的数据保持一致。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
19点22分手动将 1sass.exe 、 lsass.exe 对应系统服务停止,EDR终端后续未检测到此类告警风险再次产生。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
0x04.分析溯源
该批恶意文件修改日期在2020及2021年,初步判断服务器被感染时间在该时间段内。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
将现有日志导出到本地,利用 Log Parser 查询登录失败信息(event ID为4625),未发现服务器受到暴力破解攻击。其中172.X.X.X为露洁使用的堡垒机接入终端,期间在尝试登陆该问题主机进行排查。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
查询ID为4648试图使用明确的凭证登录(例如远程桌面)日志信息,经核实非异常登录情况,均为运维或露洁操作。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
由于当前系统日志最早记录只能查到2022年,日志存储容量最大为20M,前期日志均已被覆盖,已无法核查之前发生的一些系统情况。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
该主机系统为Windows 2016,安装更新有2个补丁程序。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
因本地内网与和业务内网是互通状态,通过本地内网向该主机进行端口探测,检测到开放如下端口:
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
经复核未发现永恒之蓝漏洞(MS17-010)、Windows远程桌面服务的远程代码执行漏洞(CVE-2019-0708)。
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
![应急响应 | 排查某主机执行可疑命令事件]( "应急响应 | 排查某主机执行可疑命令事件")
0x05.安全整改建议
根据上述风险排查结果,初步定位为挖矿软件引起该现象,该病毒将自身应用伪装成系统服务,并定期执行相关命令,但由于日志较少及分析时间有限,露洁暂未排查到入侵风险点,无法得知从何处发起的攻击导致中毒,后期该主机仍有可能被植入相关病毒等情况,向业务负责人建议,如非重要系统建议针对该主机进行系统重装,以降低后期被入侵的可能性。
很高兴认识你
关于摄影 | 电影 | 美食 | 安全 | 心情
欢迎关注 | 留言 | 转发
原文始发于微信公众号(sec0nd安全):应急响应 | 排查某主机执行可疑命令事件
评论