应急响应案例分析与经验分享

案例一：网站首页图片被篡改

攻击者入侵成功后可能会对网站进行篡改，比如上传黑页、博彩页面、webshell 等。从攻击者的心理分析，往往攻击者会是这些黑页、博彩页面或者 webshell 的首次访问者。

1. 首页头顶图片被篡改为 z.JPG，发现可疑 IP：

2. 通过分析 web 日志发现该 IP 在某段时间内存在大量的 POST 请求，访问的文件为 channel.jsp，初步怀疑 channel.jsp 为 webshell。

3. 确定 channel.jsp 为 webshell, 并且对 IP 67.204.0.217 行为进一步分析没发现其他有价值的信息

4. 对 channel.jsp 做关联分析发现更多的攻击者 IP 及 webshell，对所有关联 IP 及 webshell 分析，最后发现 IP 114.80.215.216 在 4 月 29 日登录进入 tomcat 后台并部署 war 包。

5. 攻击还原

案例二：服务器被上传大量博彩文件，且 rm -rf 不能删除

文件内容可知主要在页面写入一些热搜词让百度、谷歌等搜索引擎去进行爬取收录

1. 对博彩页面的 js packed 解密找到博彩站点

2. 博彩文件被设置 i、a 属性，所以不能直接 rm –rf 删除

3.secure 日志发现异常登录，但是 secure 日志记录太少，未发现其他异常行为，查看 history 也没有相关的命令记录

219.150.85.194（天津市）

103.244.253.201（北京市朝阳区）

112.175.106.93（韩国）

116.93.120.40（菲律宾）

4. 查看端口信息发现异常连接

5. 查看异常端口对应进程，每个进程相关目录对应一个博彩文件目录

6. 查看进程树发现所有异常进程存在一个父进程。进程 ID 为 10754

样本已被删除

7. 继续排查进程发现新的异常进程，进程相关目录为 / usr/lib64/rhythmbox/plugins/rb(Rhythmbox 是一个 GNOME 组件, 负责音乐管理与播放, c 和 python 编写)

SSH 登录的帐号和密码。

SSH 后门？套路极深

动态调试 SSH 确认存在后门

Strace 动态调试:

strace -o aa -ff -p ssh 进程

grep open aa* | grep -v -e No -e null -e denied| grep WR

grep 一下 open 系统调用，然后过滤掉错误信息和 / dev/null 信息，以及 denied 信息，并且找 WR 的

8. 隐藏的计划任务

案例三：服务器中了勒索病毒，文件被加密

被加密的文件如下图所示，被加密文件名被改为原文件名＋.id＋ID＋攻击者邮箱＋.wallet。从文件命名的方式大致判断为 wallet 勒索病毒 （该病毒最早发现于 2016 年 11 月份，并且攻击目标大多针对服务器，攻击方式主要通过爆破服务器 3389 口令进行入侵。）

1. 查看安全事件日志发现大量的暴力破解日志，初步怀疑是 administrator 帐号出问题

通过 Windows 事件查看器可以发现存在大量的登陆失败日志，因此可以初步判断攻击者攻击方式为 3389 爆破。进一步进行沟通确认服务器的 administrator 账号确实采用了弱口令。（被误导认为就是 administrator 帐号有问题）

2. 从事件日志中筛选出远程桌面成功登录的日志进行分析发现可疑帐号 test

在现场排查时有注意到这个 test 帐号，但是咨询管理员说此账号被禁用。当时被误导，没有继续去细查。

3. 样本发现：发现可疑进程

4. 样本简单分析

样本的 API 函数看起来很少，从 API 函数不难看出该病毒采用了现在病毒较为通用的编写方法，从地址空间中搜索 Kernel32 的基地址，再从 Kennel32 的导出表中获取常用的 API 地址，最后使用 GetProcAddress 和 LoadLibraryA 两个 API 获取其它的 DLL 中导出的函数地址并进行调用。

5. 病毒行为分析

• 勒索病毒最核心——加密。加密主要使用 SHA1 和 RC4，加密 200 多种文件类型

• 释放文件

• 实现开机自启动。修改注册表；复制病毒到自启动项目录

• 删除卷影副本。vssadmin delete shadows /all /quiet

6. 病毒清理

• kill 掉病毒进程

• 找出病毒释放文件并删除

• 删除病毒相关开机启动项注册表

取病毒样本中一个小插曲，忘记先把病毒进程 kill 掉就把 U 盘插进去，U 盘文件刷刷的被加密……

经验分享

• 先了解攻击发生的时间、现象等，不要急着盲目下手排查

• 使用一些工具、命令行或者自写脚本辅助分析日志会有帮助

• 在处理一些 web 入侵事件时，如果在山穷水路疑无路的时候，换一下思路或许会柳暗花明又一村

• 眼见为实，靠证据说话，不要被客户误导

• 注意保护自己

工具：

日志分析：360 星图、logparser

比如日志分析阶段遇到困难时，对代码进行 webshell 查杀可能会有惊喜的发现

小知识

声明