应急实战 | 一次没攻击流量的应急

背景：由于云上无及时应用被攻击告警，导致失陷未及时发现，当出现横向行为时才发觉可能已失陷。经华为云态势(安全云脑)监测发现A管理系统服务器与B应用服务器存在ssh暴力破解多个ip失败的情况，该服务器正常运行时应只与其数据库有业务请求，不该与其他服务器通讯，存在试图横向行为，初步判断应该是有脏东西进来。

由于云上无法监测到网络全流量只能通过现有主机告警处理，通过查看华为云主机安全告警发现23日 20:22:01 存在进程异常行为，执行命令为加密命令，后门文件在24日 10:04:40被执行并告警。

后门文件为

/opt/ZWDT/temp/EPSG.bin。

入侵者在24日11:01:04时删除临时文件，清除了入侵痕迹。6F7gUu (deleted) 删除的临时文件位于 /tmp/.ICE-unix/ 目录下。

经沙箱分析该后门为红队工具-fscan扫描工具

SHA256:f2397f865af0115949aa44089f97c401b9b6c34d3790b45cd5a3f31deb9643ef

MD5:36ca3ac0a814153937fc0187692876b7

查看主机上该工具产生的相关文件EPSG.log

根据EPSG.log内容判断亦为fscan扫描工具，攻击者已获取A服务器可达服务器或终端的信息搜集与漏洞排查结果。

通过对系统文件进行筛查，发现TRS目录存在新增jsp文件，文件落地时间为23 19:40:15

该Webshell使用了Unicode编码及hex编码，对其解码后得到原始内容，是常见哥斯拉Webshell

由于没有网络流量当时服务器紧急切断导致无法查看什么漏洞进来。

在后面恢复应用重启后，攻击者的攻击入口为A管理系统，该应用采用拓X思开发的IDS系统，其protocol接口存在任意用户cookie伪造漏洞，攻击者前期探测到该漏洞存在后，23日 19:40 攻击者利用漏洞获取管理员用户权限，登录系统，修改文件上传相关配置，成功上传了Webshell，获取了政务管理系统所在服务器的系统权限，随后进行内网横向。

系统存在异常登录日志，经排查，系统管理员当天从未登录过，口令为强口令，系统没有口令爆破漏洞及相关日志

根据登录日志详情进一步排查，确认系统/ids/protocol接口存在任意用户cookie伪造漏洞

利用漏洞伪造管理员cookie，登录系统，通过导入系统配置项功能修改文件上传配置，允许上传jsp、jspx后缀文件，成功上传webshell

通过时间戳及应用日志登录时间可判定攻击ip为119.x.x.47。

还原攻击路径：

（1）已对攻击者扫描结果中的漏洞进行修复；

（2）对华为云主机出入站流量进行限制，同时后续直接将国外ip限制访问，可减少攻击流量；

（3）在华为云主机安全中对异常进程进行查杀，同时对可达服务器进行查杀未发现问题；

（4）已对攻击工具、后门、webshell进行清理。

通过对监测详情、分析研判（应用后门、服务器后门、后门文件分析研判）、攻击路径分析还原及应急处置方面编写提交。