一起历史webshell导致的内网失陷事件
果然,周更还是太痛苦了,人不能把自己逼死,能更就更吧!今天要分享的是一个攻防演练场景下的应急,一般这种应急会涉及大量服务器,内网会存在多种横向路径,我不会一一展开,只挑选重要的和大家简单说说。
事件背景
客户在参与内部的攻防演练,然后安全设备上面告警某一个服务器存在异常外联情况,怀疑是CS后门通信,想知道服务器是否失陷?如果失陷,失陷的原因是什么?下面我们开始排查溯源工作。
现场排查
首先,从告警的两个外联地址112.*.*.33和112.*.*.42在服务器上面定位到了两个异常进程,这里图方便仅展示其中一个exe
从上面这个进程的word图标和描述“某安全卫士***”就知道肯定不是什么好鸟,而且落地文件还被删除了,就剩下两个进程还在跑,内存取证后一看很典型的CS后门特征,可以确定服务器失陷了,还可以观察到进程所属的用户是sys$,客户反馈没有sys$这个用户,可以推测这个账户是攻击方用于维权创建的,查了查安全日志,果然发现了10日15点13分事件ID为4720的创建账户日志
进一步查看相关日志,发现了在10日15点18分有192.*.*131使用RDP登录当前服务器的记录,可以断定上层的失陷主机为192.*.*131
经过了解,192.*.*131是一台对外的业务服务器,通过10日15点18分这个时间点检索服务器上7天内创建的文件,找到一个10日13点56分的异常的test*.java文件
查看文件内容,确定为webshell文件,原jsp文件被攻击方删除,故仅残留java文件了,之所以产生java文件的原因大家自行百度,这个算应急中比较使用的小技巧(举证图片仅截取部分关键字段)
查看访问日志,发现该webshell访问前还存在两个异常jsp文件的访问记录,两个异常文件的创建时间为上一年的2月22日
其中log.jsp是webshell,tunnel.jsp代理隧道文件,结合情况来看推测可能是历史webshell被利用导致的失陷,和客户沟通后了解去年2月份确实存在webshell上传,当时也是内部攻防演练,应该是演练完成后未进行清理导致的,这样失陷的入口就查的差不多了。继续深入排查,发现在/tmp目录下面还存在一个隐藏文件夹,里面放了一个fscan程序和扫描结果nohup.txt文件,结果文件里面有大量成功记录(太多了,截取部分出来,RDP、SSH和FTP等等一大堆)
到这整体的路径和行为其实就差不多了,当然其实内网还有其它横向的主机,这里只是简单举例其中一台失陷服务器,攻击方通过历史webshell利用上传了新的webshell,再利用新的webshell上传了fscan程序,对内网进行了密码喷洒和漏洞扫描,根据成功喷洒出来的密码横向了大量的内网主机。
原文始发于微信公众号(草蛇灰线马迹蛛丝):一起历史webshell导致的内网失陷事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论