一起历史webshell导致的内网失陷事件

一起历史webshell导致的内网失陷事件

    果然，周更还是太痛苦了，人不能把自己逼死，能更就更吧！今天要分享的是一个攻防演练场景下的应急，一般这种应急会涉及大量服务器，内网会存在多种横向路径，我不会一一展开，只挑选重要的和大家简单说说。

事件背景

    客户在参与内部的攻防演练，然后安全设备上面告警某一个服务器存在异常外联情况，怀疑是CS后门通信，想知道服务器是否失陷？如果失陷，失陷的原因是什么？下面我们开始排查溯源工作。

现场排查

    首先，从告警的两个外联地址112.*.*.33和112.*.*.42在服务器上面定位到了两个异常进程，这里图方便仅展示其中一个exe

    从上面这个进程的word图标和描述“某安全卫士***”就知道肯定不是什么好鸟，而且落地文件还被删除了，就剩下两个进程还在跑，内存取证后一看很典型的CS后门特征，可以确定服务器失陷了，还可以观察到进程所属的用户是sys$，客户反馈没有sys$这个用户，可以推测这个账户是攻击方用于维权创建的，查了查安全日志，果然发现了10日15点13分事件ID为4720的创建账户日志

    进一步查看相关日志，发现了在10日15点18分有192.*.*131使用RDP登录当前服务器的记录，可以断定上层的失陷主机为192.*.*131

经过了解，192.*.*131是一台对外的业务服务器，通过10日15点18分这个时间点检索服务器上7天内创建的文件，找到一个10日13点56分的异常的test*.java文件

    查看文件内容，确定为webshell文件，原jsp文件被攻击方删除，故仅残留java文件了，之所以产生java文件的原因大家自行百度，这个算应急中比较使用的小技巧（举证图片仅截取部分关键字段）

    查看访问日志，发现该webshell访问前还存在两个异常jsp文件的访问记录，两个异常文件的创建时间为上一年的2月22日

    其中log.jsp是webshell，tunnel.jsp代理隧道文件，结合情况来看推测可能是历史webshell被利用导致的失陷，和客户沟通后了解去年2月份确实存在webshell上传，当时也是内部攻防演练，应该是演练完成后未进行清理导致的，这样失陷的入口就查的差不多了。继续深入排查，发现在/tmp目录下面还存在一个隐藏文件夹，里面放了一个fscan程序和扫描结果nohup.txt文件，结果文件里面有大量成功记录（太多了，截取部分出来，RDP、SSH和FTP等等一大堆）

    到这整体的路径和行为其实就差不多了，当然其实内网还有其它横向的主机，这里只是简单举例其中一台失陷服务器，攻击方通过历史webshell利用上传了新的webshell，再利用新的webshell上传了fscan程序，对内网进行了密码喷洒和漏洞扫描，根据成功喷洒出来的密码横向了大量的内网主机。

原文始发于微信公众号（草蛇灰线马迹蛛丝）：一起历史webshell导致的内网失陷事件