一起历史webshell导致的内网失陷事件

admin 2025年3月14日13:54:07评论6 views字数 1218阅读4分3秒阅读模式

一起历史webshell导致的内网失陷事件

    果然,周更还是太痛苦了,人不能把自己逼死,能更就更吧!今天要分享的是一个攻防演练场景下的应急,一般这种应急会涉及大量服务器,内网会存在多种横向路径,我不会一一展开,只挑选重要的和大家简单说说。

事件背景

    客户在参与内部的攻防演练,然后安全设备上面告警某一个服务器存在异常外联情况,怀疑是CS后门通信,想知道服务器是否失陷?如果失陷,失陷的原因是什么?下面我们开始排查溯源工作。

现场排查

    首先,从告警的两个外联地址112.*.*.33112.*.*.42在服务器上面定位到了两个异常进程,这里图方便仅展示其中一个exe

一起历史webshell导致的内网失陷事件

    从上面这个进程的word图标和描述“某安全卫士***”就知道肯定不是什么好鸟,而且落地文件还被删除了,就剩下两个进程还在跑,内存取证后一看很典型的CS后门特征,可以确定服务器失陷了,还可以观察到进程所属的用户是sys$,客户反馈没有sys$这个用户,可以推测这个账户是攻击方用于维权创建的,查了查安全日志,果然发现了101513分事件ID4720的创建账户日志

一起历史webshell导致的内网失陷事件

    进一步查看相关日志,发现了在101518分有192.*.*131使用RDP登录当前服务器的记录,可以断定上层的失陷主机为192.*.*131

一起历史webshell导致的内网失陷事件

经过了解,192.*.*131是一台对外的业务服务器,通过101518分这个时间点检索服务器上7天内创建的文件,找到一个101356分的异常的test*.java文件

一起历史webshell导致的内网失陷事件    查看文件内容,确定为webshell文件,原jsp文件被攻击方删除,故仅残留java文件了,之所以产生java文件的原因大家自行百度,这个算应急中比较使用的小技巧(举证图片仅截取部分关键字段)

一起历史webshell导致的内网失陷事件

    查看访问日志,发现该webshell访问前还存在两个异常jsp文件的访问记录,两个异常文件的创建时间为上一年的222

一起历史webshell导致的内网失陷事件

    其中log.jspwebshelltunnel.jsp代理隧道文件,结合情况来看推测可能是历史webshell被利用导致的失陷,和客户沟通后了解去年2月份确实存在webshell上传,当时也是内部攻防演练,应该是演练完成后未进行清理导致的,这样失陷的入口就查的差不多了。继续深入排查,发现在/tmp目录下面还存在一个隐藏文件夹,里面放了一个fscan程序和扫描结果nohup.txt文件,结果文件里面有大量成功记录(太多了,截取部分出来,RDPSSHFTP等等一大堆)

一起历史webshell导致的内网失陷事件

    到这整体的路径和行为其实就差不多了,当然其实内网还有其它横向的主机,这里只是简单举例其中一台失陷服务器,攻击方通过历史webshell利用上传了新的webshell,再利用新的webshell上传了fscan程序,对内网进行了密码喷洒和漏洞扫描,根据成功喷洒出来的密码横向了大量的内网主机。

原文始发于微信公众号(草蛇灰线马迹蛛丝):一起历史webshell导致的内网失陷事件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月14日13:54:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   一起历史webshell导致的内网失陷事件http://cn-sec.com/archives/3838624.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息