企业级应急响应完整流程

来源:admin 发布时间:2022-08-19 11:15:04 点击数:

推荐关注


0x01 事件概述

xx年xx月xx日,防守方在线接收到客户应急取证分析需求,经过分析师排查与分
析,得到如下结论:
⚫ 事件危害等级:严重。
⚫ 取证目标设备:域控服务器、 OA 服务器等 29 台机器
⚫ 取证结果:取证成功
⚫ 传播途径:攻击者通过钓鱼员工终端主机,进行内网横向移动,入侵了域控服务器、 OA服务器、工控机器。
#⚫ 后续建议:

  1. 对所有办公\生产终端设备,内部的服务器进行病毒查杀。

  2. 修改主机登录口令,密码满足 8 位以上,且必须包含大小写字母、数字、特殊字符。

  3. 对终端设备 3389 和 445 端口服务进行白名单限制访问。

  4. 域控服务器及时更新系统补丁,防止低权限账号通过漏洞进行提权。定期对系统

内重要设备进行检查,排查是否有账户变化, Guest 账号建议关闭。

  1. 终端杀毒工具设置实时更新病毒库, 发现可疑文件及时隔离。


6. 定期进行员工(尤其是非安全团队)安全意识培训和宣导,尤其对于钓鱼邮件社工、
即时通讯工具社工等重点强化。
7. 优化内部网络隔离策略。

8. 加强办公\生产终端, 服务器网络安全防护, 加强内外网的威胁监控尤其是失陷监控,
可通过XX在线产品 xx进行实时监控,及时发现内网失陷主机。

9. 对于来源不明的软件或者文档,可以上传xx云沙箱进行多引擎
查杀,避免漏报。该平台可进行免费多引擎查杀和样本分析。

  1. 开启主机日志服务并保存日志至安全审计分析设备,针对安全设备开展持续化的

安全策略优化工作,将安全监控分析常态化。

0x02 取证过程

01、安全设备发现告警

xxx检测平台,检测到客户主机10.10.0.78、10.0.10.1、10.10.1.50等存在多条攻击成功告警,不仅存在内对外攻击,并且还存在内对内攻击告警。且,10.0.10.1为域控服务器,初步推测,内网已经失陷,遂上机排查

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、详细取证过程

01、10.10.0.78(人事电脑)

01、(内对外)恶意文件下载时间:10:06

xx年5月19日,10:06

受害者:10.10.0.78 从 攻击者:85.85.85.85:9000 下载了,(重要)XXX基金开户注意事项.zip
长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(内对外)反连攻击者frp隧道:10:41

xx年5月19日,10:41

受害者:10.10.0.78 -->反连攻击者frp隧道:15.15.15.15:57192

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、(内对内)对域控发起攻击:14:05

xx年5月19日,14:05 发起内对内横向攻击

受害者:10.10.0.78 使用“CVE-2020-1472 ZeroLogon 漏洞”对--> 受害者(域控):10.0.10.1 发起成功攻击并利用

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

 #简述:Zerologon漏洞-危害  
        攻击者可在三秒钟内接管整个公司的网络 
          Zerologon漏洞,漏洞编号CVE\-2020\-1472。该漏洞的最高严重程度为10,属于高危漏洞

04、现阶段-攻击路径还原-总结

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、10.10.0.1(域控1)

01、检查账号:14.12

xx年5月19日,14:10:10 设置密码

xx年5月19日,14:10:12 创建域控账号

xx年5月20日,00:25:54 登录域控

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、检查进程

域控主机进程,存在恶意进程bind.exe, 远程登录进程mstsc.exe

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、定位进程

温馨提示:定位进程位置可以有多种方式,这里展示Everything

 #语法:dm:19981105 \*.exe  
    确定时间:dm:19981105  //1998年11月05日        确定数据类型:\*.exe  \*.txt

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、定位登录时间:14:10:10

分析登录日志:eventvwr

xx年5月19日,14:10:10 建立远程连接内对内攻击

登录类型:3 网络登录,别人连自己

攻击者(受害者):10.10.0.78 ----连接-> 受害者:10.10.0.1
长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

04、定位下载恶意文件时间:14:17:00

分析Powershell日志:eventvwr

xx年5月19日,14:10:17 建立远程连接内对内攻击

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

01、检索攻击IP:发现恶意样本

解释:各大威胁平台检索,当前恶意攻击IP

发现样本,经确认为恶意

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、现阶段-攻击路径还原-总结

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、10.0.10.2(域控2)

01、定位恶意样本:15:24:34创建

通过,autoruns查看开机启动项,定位到可疑样本

样本创建时间:xx年5月19日 15:24:34 创建

样本启动时间:xx年5月19日 15:24:35 服务模式启动【系统日志 7045】

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(内对内)攻击行为发现:判断资产探测

通过lnk文件,判断攻击者于5月19日,查看了10.192.mysql 、10.192.netbios、10.128、10.1.smb文件

 但是,都被攻击者删除了,通过数据还原,推测,攻击者使用工具对                      10.192.0.0/16进行了mssql和ntibios扫描
                        对10.1.0/16  的smb服务进行的扫描

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、(内对内)定位登录时间:14:11:08(域控1->域控2)

分析安全日志:eventvwr

xx年5月19日,14:11:08 建立远程连接内对内攻击

攻击者(受害者):10.0.0.1(域控1) ----连接-> 受害者:10.10.0.2(域控2)

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

04、(内对内)定位登录时间:14:42:12(人事PC-->域控2)

分析日志:eventvwr --->TerminalServices-RemoteConnectionManager

终端服务器远程连接管理器-日志

xx年5月19日,14:42:12 建立远程连接内对内攻击

攻击者(受害者):10.10.0.78(人事PC) ----连接-> 受害者:10.10.0.2(域控2)

行为:使用新创的域控账号:testtest 登录到域控2

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、现阶段-攻击路径还原总结

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

04、10.10.1.50

01、(内对外)反连攻击者frp隧道:16:09

xx年5月19日,16:09

受害者:10.10.1.50 -->反连攻击者frp隧道:89.89.89.89:12345

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(内对内)命令执行攻击 18:03

xx年5月19日,18:03 使用wmiexec执行命令执行攻击 内对内攻击

受害者(内网):10.10.1.50 --> 受害者(内网):10.0.13.10

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、(内对内)远程命令执行:19:06:57

xx年5月19日,19:06:57 使用WebLogic 权限绕过(CVE-2020-14883)漏洞执行-远程命令执行攻击 内对内攻击

受害者(内网):10.10.1.50 --> 受害者(内网):10.9.0.1:7002

04、(内对内)登录MySQL数据库:19:15:40

xx年5月19日,19:15:40 用root账号,成功登录其他服务器的数据库 内对内攻击

受害者(内网):10.10.1.50 --> 受害者(内网):10.182.11.1:3306

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、(内对内)对多个服务器发起xp_cmdshell 提权

受害者(内网):10.10.1.50 --> 多个内网服务器,发起SQLserver 的xp_cmdshell提权

多个被提权内网服务器:10.79.76.94、 10.79.56.130

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

思考:

 #疑惑1
    \*01、反连容易理解 
    \*怎么打进来的不知道 
#疑惑2
    \* 02030405:都分别是对不同网段的IP发起了攻击 
    问题1:攻击者怎么知道这些信息的?为什么可以直接发起攻击 
          如果没有人提供,那么就肯定做了扫描探测行为 
    问题2:数据库密码肯定泄露了   
          如果没有人提供,不可能直接登录成功(因为至今没发现爆破行为) 
#通过信息,做出判断:
    1、要么信息泄露了,要么绝对做了内部信息探测和扫描 
    也就是说,攻击者一定上传了攻击工具\---上传载荷行为 
              攻击者一定做了扫描探测行为

06、定位多个攻击者工具

由于10.10.1.50存在多个-成功-告警,遂上机排查,在 C:\Users\Public\Downloads 目录下

发现多个攻击者工具:fscan、psexec、wminprvSE、超级弱口令探测工具

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

07、样本落地时间确认 16:53

样本落地时间为:xx年5月19日 16:53

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

08、经确认,内网存在上百台弱口令

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

09、排查历史执行程序记录

命令:C:\Windows\Prefetch

经排查,攻击者在5月19日和5月20日执行了,ping、cmd、psexec等可执行程序

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

010、排查程序执行日志:7045

样本启动时间:xx年5月19日 15:48 服务模式启动【系统日志 7045】

但是,该样本已经被删除

服务名:BTOBTO

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

011、(内对内)定位登录时间 15:37(域控2--->)

事件查看器:eventvwr --->安全日志(4624)

排查登录日志,5月19日 15:37,10.0.10.2 通过pth攻击成功登录10.10.1.50

登录类型3:网络登录,别人(10.0.10.2)登录自己(10.10.1.50)

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

012、现阶段-攻击路径还原总结

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、10.0.13.10

由于被(攻击者:内10.10.1.50)远程命令执行,所以确认被感染了,所以上机排查

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

01、(内对内)确认被pth方式登录过 18:03 和 21:16:09

分析日志:eventvwr 【4624】

xx年5月19日,18:03 被pth方式登陆过

攻击者(受害者):10.10.1.50 -----> 受害者:10.0.13.10

行为:使用pass the hash方式登录到10.0.13.10

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(self)排查历史执行程序记录 21:16:09

样本启动时间:xx年5月19日 21:16:09 服务模式启动【系统日志 7045】

服务名:BTOBTO,与10.10.1.50 是一致的

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、现阶段-攻击路径还原总结

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

06、10.10.0.188

01、(内对外)反连攻击者frp隧道 16:55:03

xx年5月19日,16:55:03

受害者:10.10.0.188 -->反连攻击者frp隧道:87.87.87.87:33891

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(内对外)反连攻击者frp隧道 17:03

xx年5月19日, 17:03

受害者:10.10.0.188 -->反连攻击者frp隧道:89.89.89.89:12345

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、(内对内OA)调用执行命令 5月20日 多个时间段/受害者

xx年5月20日, 02:28:36 使用wmiexec调用执行命令

受害者(攻击者):10.10.0.188 -->受害者:10.7.0.5

xx年5月20日, 02:55:34 使用wmiexec调用执行命令

受害者(攻击者):10.10.0.188 -->受害者:10.7.0.1

xx年5月20日, 03:01:33 使用wmiexec调用执行命令

受害者(攻击者):10.10.0.188 -->受害者:10.7.0.12

xx年5月20日, 03:10:19 使用wmiexec调用执行命令

受害者(攻击者):10.10.0.188 -->受害者:10.7.0.7

04、(内对内) 5月20日 多时间端/受害者 其他攻击

通过时间筛选当前IP的攻击事件汇总,发现

xx年5月20日, 使用PsExec调用执行命令 和 MS17-010漏洞攻击

受害者(攻击者):10.10.0.188 -->受害者:10.128.9.4;10.128.9.1;10.128.9.5

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、思考

攻击者要执行01、02、03、04
1、那么攻击者,就必须要上传工具/载荷
2、攻击者是怎么进来的

06、定位可疑文件

使用 Everything 工具查看 19 号至今修改时间较新的文件,发现名为 2.exe 于 serverscan.exe 的异常文件。

语法:dm:20xx/05/19-20xx/06/21 exe

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

1、攻击工具在同目录下发现很多
2、result.txt 为入侵这的扫描结果

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

07、检查启动项

使用火绒工具查看启动项发现存在数字签名、公司名称异常的文件:

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

08、检查计划任务

发现于 xxx年 5 月 19 号 16 时 59 分已写入计划任务,建立持久性后门。

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

09、(内对内)被登录 15:37:21 (域控2---pth->)

xx年5月19日, 15:37:21 攻击者使用了pth方式登陆了受害者机子 内对内

受害者(攻击者):10.0.10.2 -->受害者:10.10.0.188

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

010、(内对内)被RDP登录 15:40:58(人事PC--->)

xx年5月19日, 15:37:21 攻击者使用了人事PC跳板机RDP登陆了受害者机子 内对内

受害者(攻击者):10.10.0.78 -->受害者:10.10.0.188

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

011、(内对内)被RDP登录 16:58:08

xx年5月19日, 16:58:08 攻击者使用了人事PC跳板机RDP登陆了受害者机子 内对内

受害者(攻击者):10.10.1.50 -->受害者:10.10.0.188

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

012、现阶段-攻击路径还原总结

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

07、10.7.0.1(OA)

由于,10.10.0.188对所有OA都发起了攻击,怀疑也被感染,因此上机排查

01、定位恶意程序

发现 java.exe 进程下存在两个子进程 cmd.exe, 其中一个cmd.exe 执行了恶意程序 bind.exe

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、进入可疑程序-所在目录

进入可疑程序-所在目录,发现目录存下一个 486896.txt 文本文件

内容是:systeminfo 的输出内容

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、(内对内)排查登录日志(内--->OA)-爆破

5 月 20 日凌晨 1:32:44 攻击者对该主机进行暴力破解, 在 2:06 登录该主机

攻击者:10.10.0.188 受害者:10.7.0.1

4625:代表登录失败,只有开始登录才会存在登录失败,所以这个时间就是暴力破解的开始时间

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

04、排查程序执行日志 2:06 【 7045】

样本启动时间:xx年5月20日 2:06 服务模式启动【系统日志 7045】

攻击者同样创建了 名为:BTOBTO 服务,调用执行 execute.bat 程序

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、配合杀软手工+工具:定位其他黑客工具

工具:杀软、everthing

人工:意识(temp、用户目录、c盘、download...)

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

06、疑问

为什么没有攻击路径总结呢?

因为10.7.0.1 OA,是受害者,是被攻击的对象,在设备没有传出该机子攻击其他人的行为时

只需要对该台机子做取证和应急 恢复的工作就可以了

08、10.7.0.4(OA)

由于,10.10.0.188对所有OA都发起了攻击,怀疑也被感染,因此上机排查

01、定位恶意程序

当前主机运行了恶意进程 bind.exe、远程工具 anydesk

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、确定远程工具-落地和执行/访问时间

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、分析anydesk -登录日志(失败)

分析 anydesk 日志,均为连接失败,说明攻击者并未通过 anydesk 连接成功

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

04、定位黑客工具

可执行程序类型:exe、bat、powershell

全盘检索,半手工确认:黑客工具有(getpass.bat、fscan.ext、serverscan.exe、bind.exe)

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

05、(内对内)排查登录日志(内-->OA)成功1:32:41

5 月 20 日凌晨 1:32:41 暴力破解成功并登录

破解出账密的时间 :1:32:41

攻击者(内网):10.10.0.188

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

06、(self)排查执行记录 2:04:36

样本启动时间:xx年5月20日 2:04:36 服务模式启动【系统日志 7045】

攻击者同样创建了 名为:BTOBTO 服务,调用执行 execute.bat 程序

execute.bat内容如下:

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

 #execute.bat 补充  
    攻击手法:绕过CVE\-2019\-1040的基于资源委派攻击方法 
     
    功能和危害:导出域管理员hash值\---既获取域管理员凭证

  Executing %COMSPEC% /Q /c echo cd  ^> \\\\127.0.0.1\\C$\\\_\_output 2^>^&1 \> %TEMP%\\execute.bat & %COMSPEC% /Q /c %TEMP%\\execute.bat & del %TEMP%\\execute.bat

其他发现:端口扫描行为

黑客工具对 10.7.0.0/16 进行了端口扫描

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

06、疑问

为什么没有攻击路径总结呢?

因为10.7.0.4 OA,是受害者,是被攻击的对象,在设备没有传出该机子攻击其他人的行为时

只需要对该台机子做取证和应急 恢复的工作就可以了

简单的来说,你是无法100%还原攻击者具体做了哪些行为的
那么我们需要做的就是,确定,攻击样本,通过攻击样本,确定样本落地时间

在通过落地时间,寻找攻击者,进入客户服务器的方式

在通过落地时间,进入服务器的时间,确定攻击者的多样本执行时间

最终,确认相关行为,根除和恢复

09、10.7.0.12(OA)【内--->OA】

由于,10.10.0.188对所有OA都发起了攻击,怀疑也被感染,因此上机排查

01、进程服务-无异常

02、(内对内)排查登录日志 1:32:44 成功

5 月 20 日凌晨 1:32:44 暴力破解成功并登录

暴力破解-成功时间 1:32:44 成功

暴力破解-开始时间:5月20日 1:32:41

攻击者(内网):10.10.0.188 受害者:10.7.0.12(OA)

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

06、疑问

为什么没有攻击路径总结呢?

因为10.7.0.12 OA,是受害者,是被攻击的对象,在设备没有传出该机子攻击其他人的行为时

只需要对该台机子做取证和应急 恢复的工作就可以了

简单的来说,你是无法100%还原攻击者具体做了哪些行为的
那么我们需要做的就是,确定,攻击样本,通过攻击样本,确定样本落地时间

在通过落地时间,寻找攻击者,进入客户服务器的方式

在通过落地时间,进入服务器的时间,确定攻击者的多样本执行时间

最终,确认相关行为,根除和恢复

010、先阶段3个OA-攻击路径还原

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

011、10.7.0.21

01、(内对内)排查登录日志 20日2:11

通过对10.7.0.21的排查,

在系统安全日志内发现 攻击者使用内网横向手法pass the hash 方式登陆过 该主机

攻击者(内网):10.10.0.188 ----> 受害者(内网):10.7.0.21

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(self)排查执行记录 20日 2:08:41【7045】

样本启动时间:xx年5月20日 2:08:41 服务模式启动【系统日志 7045】

攻击者同样创建了 名为:BTOBTO 服务,调用执行 execute.bat 程序

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、现阶段-攻击路径还原

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

012、10.7.0.7(OA)

01、(内对内)排查登录日志 20日3:12:05

通过对10.7.0.7的排查,

在系统安全日志内发现 攻击者使用内网横向手法 pass the hash 方式登陆过 该主机

登录时间:xx年 5月20日 3:12:05

攻击者(内网):10.10.0.188 ----> 受害者(内网):10.7.0.7

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

02、(self-false)排查执行记录 20日 3:13:09【7009】

通过排查发现,样本启动失败:xx年5月20日 3:13:09 【系统日志 7009】

查看系统日志发现服务 BTOBTO 存在错误信息,未执行成功

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

03、现阶段-攻击路径还原

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

013、10.9.0.1

xx年5月19日,19:06:57

被成功执行了Webloginc漏洞,cve-2020-14883, 遂上机排查

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

01、对登录日志进行排查

通过排查登录日志,在攻击发起时间之后的所有登录日志均为正常程序,至此所有排查完毕

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

0x03 完整-攻击路径还原

0x04 样本汇总

通过排查失陷主机, 提取了攻击者留下的文件汇总如下 :

攻击样本捕获:10个 攻击样本类型:9个

长治网络安全等级保护,长治等保,长治网安备案,网站制作,网站建站,网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

0x05 样本分析汇总(待公布)

主要是对样本的执行过程,行为、特征、家族等信息进行分析汇总

0x06 应急建议

1. 排查主机上是否存在 bind.exe、 serverscan.exe、 fscan.exe、 LTWcotx1.exe、 2.exe、
AnyDesk.exe、 getpass.bat、 execute.bat、 PowerTools-master、 ew.exe。
而后查看当前进程中是否存在以上恶意文件名,如果存在结束进程并删除文件。

  1. 修改主机登录口令,密码满足 8 位以上,且必须包含大小写字母、数字、特殊字符。

  2. 对终端设备 3389 和 445 端口服务进行白名单限制访问。

  3. 对域控服务器及域内机器及时更新系统补丁,防止被漏洞利用。

0x07 附录

C2 地址

85.85.85.85:900015.15.15.15:5719275.75.75.75:12345689.89.89.89:1234587.87.87.87:33891

样本对应hash值

ab70d921d9f47cad23d01a831fc4
e9bb3fe97866e2f2ced28ca8004c7ad3fe26834a30a1bf7fe277a170
b0ced233b1b196193b8d7cdf713e
caafdd5953e64fe455b375f41c500bd698c3bbe18bf4940d69f0eb55
c8dce86d4556d955c51f4a1aab01
c8dce86d4556d955c51f4a1aab0139eaec330e222fc9037da8bebb61
注:以上内容源于奇安信攻防社区,原作者Dnslog_95,侵删



长治等保,等保,网络安全,网络等保,等级保护,网络安全等保,网络安全等级保护,长治网络安全等级保护,等保公司,等保测评,等级保护2.0,定级,定级备案,等保备案,长治等保备案,山西等保备案,系统测评,系统备案,网安备案,等保备案服务,等保咨询,公安局备案,二级等保,三级等保,三级测评,系统整改,做等保的公司,网站建设,企业网站建设,企业网站开发,企业网站运维,Linux系统运维,Windows系统运维,服务器运维,环境部署,环境搭建,私有云存储

Powered by 园鉴科技 ©2021-2024  www.anycastyun.com

首 页
产 品
方 案
客 服