技术干货 | 安全技术之蓝队应急响应随笔

某家互联网公司参与某区级HW行动，角色为蓝方，红方未知。

荣队：蓝方安全负（bei）责（guo）人

蓝先生：蓝方的主要防守人员

三次方：蓝方的运维人员，权限较高，意识较差是他的特点

小小天：蓝方渗透测试人员

红先生：红方的未知攻击人员

蓝方办公网被打穿，域控被拿下，其在阿里云上的部分非核心系统被拿下。

蓝方通过溯源、排查、调研等最终完整定位整个攻击路线。

由于时间较久，已经找不到当时的截图，只有文字说明。

1）2021.05.25 13:13 

公司小狐狸app客服组赵六通过公司智齿在线客服渠道接到红先生发起的聊天，并收到红先生发来的恶意压缩包，当然红先生利用了一些社工的技巧，虽手法很一般，但无奈赵六安全意识不足，还是解压并且双了击。事后通过终端防病毒McAfee查杀日志得出2021.05.25 13:28解压缩并且运行了里面的exe中招。

2）2021.05.25 14:06 

赵六（192.168.20.193）找到蓝先生，反馈其接收到的文件被McAfee提示有恶意程序并查杀（其实是部分查杀，因为McAfee防病毒策略配置不严谨），事后查看赵六的McAfee客户端日志，执行了恶意Powershell脚本中招。当时蓝先生接到反馈后，立即对原始文件样本做了2个处理动作，一是McAfee全面查杀压缩包，无毒；二是在自己虚拟机沙箱打开了压缩包里面的doc文档，排查是否存在宏命令，提示报错，就没关心了。

3）2021.05.25 14:33 

赵六的电脑（192.168.20.193）开始有dns解析www.fscoode.xyz（172.67.167.203）的请求。

4）2021.05.22 16:56 

时间拨回到5月22日，早在这时公司安全渗透测试人员小小天有在办公网进行黑盒扫描，并扫描到192.168.24.29（运维同事三次方的不常用电脑）存在shiro RCE漏洞，因三次方电脑安装了供应商的考勤打卡系统测试版本，该系统存在shiro最新0day，后来因为是三次方的电脑就没关心。

5）2021.05.25 18:21

通过三次方电脑上部署的考勤打卡系统的日志分析，发现有shiro 反序列化RCE攻击日志，三次方桌面有个“常用数据.txt”，里面保存有域控管理员administrator账号密码、阿里云VPC考勤机3389账号密码、mssql sa账号密码敏感信息，还有公司多年前的阿里云老域控的IP地址（172.31.116.174）和老的账号密码。安全意识太薄弱，但是很多公司运维还在这么做。

6）2021.05.25 18:33 

192.168.24.29（三次方的电脑）去解析了恶意域名www.fscoode.xyz被奇安信威胁情报抓到，证明已经三次方电脑已经中招。

7）2021.05.25 19:15

红先生通过客服赵六的电脑192.168.20.193，使用RDP登录了阿里云VPC的考勤。

8）2021.05.25 19:18

红先生在阿里云VPC考勤机植入恶意程序，该恶意程序会与恶意IP通讯1.13.0.155（长春腾讯），其中可疑的是执行了命令ping 172.31.116.174（公司老域控IP地址，这个地址已经很久没用并下线，没多少人知道）。

9）2021.05.25 21:39

查看阿里云考勤机172.31.117.35的shiro日志，也被反序列化打了 （这里发现当时阿里云考勤机的安全组配置有漏洞，入站方向的3389端口对办公网大段192.168.0.0/16是放开的，所以理论上攻击者拿到20.193权限后可以3389直接远程桌面到云上考勤机）。

10）2021.05.25 21:30左

有一些三次方的域账号登录错误日志，应该是拿到三次方电脑之后的拿域控权限之前的一些试探。

11）2021.05.25 21:53

红先生使用192.168.24.29三次方电脑使用administrator去考勤机验证成功，没什么价值；

12）2021.05.25 23：56:50

红先生三次方电脑192.168.24.29使用域控管理员账户adminsitrator成功登录办公网AD 192.168.24.253，域控管理员密码从桌面txt得知，为啥这里耗时这么久才登陆上域控，不好说，可能是因为等待半夜操作，也可能是红先生思路之前走偏。

13）2021.05.25 23：56：50

红先生使用三次方电脑用域管理员账号adminsitrator登录阿里云BAD172.21.243.99。

14）2021.05.25 23:59

红先生在办公网域控服务器192.168.24.253植入恶意程序，同时也触发了解析www.fscoode.xyz恶意域名的流量被奇安信威胁情报抓到，证明已经中招。

15）2021.05.26 00:13:53

红先生陆续通过三次方电脑192.168.24.29用域控管理员账户adminsitrator成功登录该公司多地分公司的子域及备域，后续还有很多的24.29登录线下域控的日志，到这里整个办公网域控全被拿下。

16）2021.05.26 01:28

红先生在阿里云VPC域控172.21.243.99植入恶意程序，并且也去解析了www.fscoode.xyz恶意域名，说明中招，同时云安全中心 01:31 172.21.243.99告警被植入恶意程序，相关的告警通过钉钉、短信发到安全部每位应急小组成员，其中包括蓝先生。就在这之后，荣队也接到告警并且电话立即通知蓝先生。

但那时，蓝先生手机静音着，熟睡中，但是为啥能及时知道电话来了，因为当时正好被小娃娃吵醒，就是这么巧合。

蓝先生：喂，荣队？（假装刚醒，其实看了告警心里清楚发生了啥）

荣队：你赶紧打开电脑应急下，我们域控貌似被攻破了！

蓝先生：啊？（又是一次假装不知道发生了啥，其实在想辙呢）

蓝先生：不好意思荣队，我家里没电脑，无法应急。

荣队：那麻烦你现在去趟公司吧，赶紧排查并且做些止血吧。

蓝先生：好的，我准备下。。。

这时是2022.05.26 凌晨一点多，然后就是日以继夜的排查和止血，最终溯源出来上述的攻击过程。

公司后来召集各部门讨论的一些整改方案，可以供大家参考：

1）网络安全：

a.   威胁情报系统、防病毒等系统告警事件主动告警指定专人负责

b.   网络隔离：跨楼层、跨职场的高危端口隔离

c.   通过域控组策略下发防火墙规则封禁高危端口，对所有加域PC生效

d.   线下所有VM虚拟、服务器出网权限全部关闭，除必要的dns、updates

e.   威胁情报分析的流量，除了南北向，将东西向流量也纳入覆盖范围

2）终端安全：

a.   重新梳理加域PC安全基线，例如禁用USB、禁用软件安装权限等，梳理好灰度下发下去

b.   关于域控组策略，如果涉及到下发脚本的，严禁脚本中存在任何授权账号密码

c.   防病毒策略，针对VM服务器和加域PC，分别制定不同的严格防病毒策略，特别是这次打进来的Powershell木马相关策略

3）权限管控：

a.   梳理并整改内网终端的各项权限

b.   内网IT服务器等强制通过jumpserver跳板机的方式登录进行管控

c.   禁止员工私自在电脑部署非办公应用程序，特别是第三方应用程序

4) 安全意识培训：

a.   全员安全意识培训，形式有线上视频培训、海报、动态桌面壁纸分享等及安全意识考核

b.   敏感岗位如运维、网络、IT、安全等，进行线下培训、案例演示、现场攻防演练等方式宣导