【极思】一个伪0day的抓捕实录

“ 文章中质量较好的，有意义的文章已经让朋友帮助备份到这里，等极思和A9关停后，还能找地方看到。五一劳动节全程在劳动，修过电灯吸过尘，陪过家人写过文。没有旅行的五一，也可以是完美的五一。【极思】安全运营第6年实践总结”

零、前言

如果你问一个职场人员最6的是啥，大部分人会回答你是Boss，如果你问一个安全行业的职场人员最6的是啥，你得到答案一定不是Boss，而是Zero-day。它在信息安全人员心中，是无所不能，无所不破的，最可怕且没有之一。不过，它也无比的昂贵，一个可远程命令执行的Zero-day，能卖10万…………不是￥，是$。所以信息安全人员，如果被Zero-day攻击了，不是你倒霉，那只能证明你身价高。

为啥说是伪Zero-day，因为我们响应的时候发现，几小时前POC在GitHub被公开了。看着发布时间，我在想如果再晚几时发布，我就就抓到一个Zero-day。不过转念再一想，如果不发布谁拿来打你啊，我真的天（bu）真（pei）啊。

一、发现安全告警

来来来，回正题。话说，2月27日下午正在开会。突然，我们的安全运营自动化系统，把TDP（微步）告警发到了企业微信群中，直接上图（不过是有码的）。

想到告警在上班时间要求30min内必须响应，要不然得贡献一小瓶酸奶（别乱想）。直接上告警响应流程图。

从第一步开始，发现告警先判断真伪。源IP来自互联网，目标IP为内网，紧张度+1。Weblogic经常出漏洞，紧张度+1。远程代码执行漏洞，紧张度+1。此类漏洞攻击特征明显，且TDP平常很少误报，紧张度+2。吓得我赶紧点击超链接，1s直达告警详细页面（得瑟一下）。

打开告警链接，查看包体内容，竟然是流量关键字匹配，找到自动标红的攻击代码，通过LDAP加载了class文件，紧张度+3。已经没有可能是误报了（快哭了）, 嗯嗯有可能是红队在打我们。赶紧把红队小组长叫来，确认到不是红队干的（要裂开了）。

发现告警阶段，处置原则，如果攻击是真的，且攻击影响较大，立即报告领导。想到漏洞有编号CVE-2023-21839，立即让情报小组查漏洞的详细信息。得到回复，此漏洞在1月17日公开，官方发布了补丁，一直没有公开EXP，但今天上午，此漏洞的EXP突然在网上大范围流传。

二、攻击行为抑制

立即进入安全资产管理系统查询受害服务器，同时心里一万只草泥马在奔腾，谁的主机1月17的漏洞情报工作通知，到现在还没有修？我一定要上双周会通报他。

点开查询页面的时候我乐了，受害服务器是一台蜜罐，而且还是为HVV准备的。这会感觉有个蜜罐真是不错（shuang），这下只需要静静的做个观众了，等了半小时没有发现下一步攻击动作，今天又天（chu）真（chou）了。自动化发出的攻击，有谁会在意呢。

三、最后的挣扎

突然发现，第三阶段的攻击入口分析，第四阶段的缓解或修复措施，第五阶段的事后隐患排查，第六阶段的事后复盘改进，都不需要了？我激动的内心中竟然有些遗憾，难道我不应该开心吗？不对，我还可以加一个阶段，反击，对反击。

利用告警内容中的反弹链接地址，下载攻击者所用的class文件，反编译后找到了攻击者控制机，这个域名是攻击者的C&C服务器。通过查询域名注册信息，没有得到有用的信息。通过漏洞扫描，也没有找到有用的漏洞。最后通过微步的X社区和Virus Total查询域名，发现有一些关联的恶意样本，通过查看恶意样本的沙箱行为，也没有找到有用的信息。

后记，找ThreatBook要了一份漏洞的详细分析报告，让红队的同学进行了复现。没想到的是，他们在去年就已经掌握了此漏洞，这就是￥的力量么。同时，也在每周一的学习会上进行了分享。【极思】A9 Team 不负韶华

四、最后的礼物

网络安全无小事，胆要大但心要细。看似不多的处置过程，每个动作都是经过上百次的打磨，才能做出最正确的反应。冰冻三尺，非一日之寒。铁杵成针，亦非一日之功。当然，安全运营也不是一人能行，行业安全需要国家（yeye）、监管（baba）、同行（xiongdi）、供应商共同努力，守望相助才能真正做好。告警响应流程图供参考（需要原图请后台留言+转发文章）。

原文始发于微信公众号（A9 Team）：【极思】一个伪0day的抓捕实录