问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
企业级-应急响应完整流程:启示录1
1、熟悉企业级完整应急响应流程 2、掌握企业级取证报告编写 3、有完整配套视频讲解 https://www.bilibili.com/video/BV1rr4y1H7LX?spm_id_from=333.337.search-card.all.click
![真实案例一: 完整的应急流程图 沈柒贤.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-c8a2064479625c36e909c36b0af0a007dbce4d6e.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-d69b2638c9c7fe2a4e032131faca0450efcd9355.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-d850b0392c6c9a1ef9d75ad6ea189494fc67edc4.png) 0x01 事件概述 ========= xx年xx月xx日,防守方在线接收到客户应急取证分析需求,经过分析师排查与分 析,得到如下结论: ⚫ 事件危害等级: 严重。 ⚫ 取证目标设备: 域控服务器、 OA 服务器等 29 台机器 ⚫ 取证结果: 取证成功 ⚫ 传播途径: 攻击者通过钓鱼员工终端主机,进行内网横向移动,入侵了域控服务器、 OA 服务器、工控机器。 #⚫ 后续建议: 1. 对所有办公\\生产终端设备,内部的服务器进行病毒查杀。 2. 修改主机登录口令,密码满足 8 位以上,且必须包含大小写字母、数字、特殊字符。 3. 对终端设备 3389 和 445 端口服务进行白名单限制访问。 4. 域控服务器及时更新系统补丁,防止低权限账号通过漏洞进行提权。定期对系统 内重要设备进行检查,排查是否有账户变化, Guest 账号建议关闭。 5. 终端杀毒工具设置实时更新病毒库, 发现可疑文件及时隔离。 6. 定期进行员工(尤其是非安全团队)安全意识培训和宣导,尤其对于钓鱼邮件社工、 即时通讯工具社工等重点强化。 7. 优化内部网络隔离策略。 8. 加强办公\\生产终端, 服务器网络安全防护, 加强内外网的威胁监控尤其是失陷监控, 可通过XX在线产品 xx进行实时监控,及时发现内网失陷主机。 9. 对于来源不明的软件或者文档,可以上传xx云沙箱进行多引擎 查杀,避免漏报。该平台可进行免费多引擎查杀和样本分析。 10. 开启主机日志服务并保存日志至安全审计分析设备,针对安全设备开展持续化的 安全策略优化工作,将安全监控分析常态化。 0x02 取证过程 ========= 01、安全设备发现告警 ----------- `xxx检测平台,检测到客户主机10.10.0.78、10.0.10.1、10.10.1.50等存在多条攻击成功告警,不仅存在内对外攻击,并且还存在内对内攻击告警。且,10.0.10.1为域控服务器,初步推测,内网已经失陷,遂上机排查` ![1649574990401.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-c7ddd4cfe70bc14e72b7faba19b0ca910ac2c9ce.png) ![1650095648051.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-8fde9e6d975ba081bdbbe3f4e60fe324f1916262.png) 02、详细取证过程 --------- ### 01、10.10.0.78(人事电脑) #### 01、(内对外)恶意文件下载时间:10:06 `xx年5月19日,10:06` `受害者:10.10.0.78 从 攻击者:85.85.85.85:9000 下载了,(重要)XXX基金开户注意事项.zip` ![1649575669604.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-1a8d206dfd3d43c2459b7963893e76e457aa97be.png) #### 02、(内对外)反连攻击者frp隧道:10:41 `xx年5月19日,10:41` `受害者:10.10.0.78 -->反连攻击者frp隧道:15.15.15.15:57192` ![1649576041400.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-9c773db7ad25d870d15928e5603f844e7d0b3721.png) #### 03、(内对内)对域控发起攻击:14:05 `xx年5月19日,14:05` 发起内对内横向攻击 `受害者:10.10.0.78 使用“CVE-2020-1472 ZeroLogon 漏洞”对--> 受害者(域控):10.0.10.1 发起成功攻击并利用` ![1649576675047.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-b7bf787ee4d4698f4e4c3d46ab3cfbf26628db63.png) ```js #简述:Zerologon漏洞-危害 攻击者可在三秒钟内接管整个公司的网络 Zerologon漏洞,漏洞编号CVE\-2020\-1472。该漏洞的最高严重程度为10,属于高危漏洞 ``` #### 04、现阶段-攻击路径还原-总结 ![1649736236423.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-0f66b213b260c81175652a007007366977192732.png) ![1649840784809.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-0ed770633a22f1f49b4d956b0d86bef02607803c.png) ### 02、10.10.0.1(域控1) #### 01、检查账号:14.12 `xx年5月19日,14:10:10 设置密码` `xx年5月19日,14:10:12 创建域控账号` `xx年5月20日,00:25:54 登录域控` ![1649577692614.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-c21d52f4cad51315a6df4e07107e3bcfddbd31cb.png) ![1649578222322.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-6b76303abb95796b683c79ef44ab343b125939eb.png) #### 02、检查进程 `域控主机进程,存在恶意进程bind.exe, 远程登录进程mstsc.exe` ![1649578464478.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-003f1a79139f31cdc9a01d61ecf610fa41a82a11.png) #### 03、定位进程 `温馨提示:定位进程位置可以有多种方式,这里展示Everything` ```js #语法:dm:19981105 \*.exe 确定时间:dm:19981105 //1998年11月05日 确定数据类型:\*.exe \*.txt ``` ![1649649313021.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-0303cb75449effb40cae13ff50493b97f411a4fa.png) ![1649649470399.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-d0951f2583e045ee9d6495ff08b41c026fea48f8.png) #### 03、定位登录时间:14:10:10 分析登录日志:eventvwr `xx年5月19日,14:10:10 建立远程连接`内对内攻击 `登录类型:3 网络登录,别人连自己` `攻击者(受害者):10.10.0.78 ----连接-> 受害者:10.10.0.1` ![1649731759662.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-44f114de5073c6497096262dfc1d5e0464257c9b.png) ![1649734848939.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-6de7af5001aa3971691d280ba2c9d99eeb6144bb.png) ![1649579228480.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-6a05b886b1169b4e06543c6d39b3197aefba46b8.png) #### 04、定位下载恶意文件时间:14:17:00 分析Powershell日志:eventvwr `xx年5月19日,14:10:17 建立远程连接`内对内攻击 ![1649735212185.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-a26bc141591a466743650745250e36369f85ac4a.png) ##### 01、检索攻击IP:发现恶意样本 `解释:各大威胁平台检索,当前恶意攻击IP` 发现样本,经确认为恶意 ![1649735684513.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-98441495d6f626800802da97e54d957110837035.png) ![1649735748713.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-46aa9430d9e65b5534f7c169b0f7bad5daf30036.png) #### 05、现阶段-攻击路径还原-总结 ![1649736258704.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-ac6f6036d5d87f3458434fcd83908def5554935a.png) ![1649841348788.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-c4d5e329ad4e55b856528c35533880b8e1475a27.png) 03、10.0.10.2(域控2) ----------------- ### 01、定位恶意样本:15:24:34创建 通过,autoruns查看开机启动项,定位到可疑样本 `样本创建时间:xx年5月19日 15:24:34 创建` `样本启动时间:xx年5月19日 15:24:35 服务模式启动【系统日志 7045】` ![1649737365992.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-dd4c2182e1b8a577b03f288a28f79c394dadb5ab.png) ![1649737620071.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-6545f6cc7e7069fd06e11f4789db6ec5a5ab76ce.png) ![1649738886964.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-edd6c29a8da4bde8f44f3fe5d2b8279955d8094c.png) ![1649738948354.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-843f03cf95f4bd1854d774779751b2af0b564f11.png) ### 02、(内对内)攻击行为发现:判断资产探测 `通过lnk文件,判断攻击者于5月19日,查看了10.192.mysql 、10.192.netbios、10.128、10.1.smb文件` ```js 但是,都被攻击者删除了,通过数据还原,推测,攻击者使用工具对 10.192.0.0/16进行了mssql和ntibios扫描 对10.1.0/16 的smb服务进行的扫描 ``` ![1649748269582.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-f828205dd51eee3454d7d4c1f2348c3402066403.png) ### 03、(内对内)定位登录时间:14:11:08(域控1->域控2) 分析安全日志:eventvwr `xx年5月19日,14:11:08 建立远程连接`内对内攻击 `攻击者(受害者):10.0.0.1(域控1) ----连接-> 受害者:10.10.0.2(域控2)` ![1649748501615.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-c9fc47faa2f7f702127b070a8419bba8271e0106.png) ### 04、(内对内)定位登录时间:14:42:12(人事PC-->域控2) 分析日志:eventvwr --->TerminalServices-RemoteConnectionManager 终端服务器远程连接管理器-日志 `xx年5月19日,14:42:12 建立远程连接`内对内攻击 `攻击者(受害者):10.10.0.78(人事PC) ----连接-> 受害者:10.10.0.2(域控2)` 行为:使用新创的域控账号:testtest 登录到域控2 ![1649749906339.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-aaaba77887cd1fbfbf08baa34089febd29c99eaa.png) ### 05、现阶段-攻击路径还原总结 ![1649750496287.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-22e2259f3eab0d3694dde3134a8d81199e97f750.png) 04、10.10.1.50 ------------- ### 01、(内对外)反连攻击者frp隧道:16:09 `xx年5月19日,16:09` `受害者:10.10.1.50 -->反连攻击者frp隧道:89.89.89.89:12345` ![1649754702494.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-dd3c5a195b8495eab2fa59b71036826e60526a40.png) ### 02、(内对内)命令执行攻击 18:03 `xx年5月19日,18:03 使用wmiexec执行命令执行攻击` 内对内攻击 `受害者(内网):10.10.1.50 --> 受害者(内网):10.0.13.10` ![1649755298407.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-4df9c625997ee499ff3466016640c4259c0d13df.png) ### 03、(内对内)远程命令执行:19:06:57 `xx年5月19日,19:06:57 使用WebLogic 权限绕过(CVE-2020-14883)漏洞执行-远程命令执行攻击` 内对内攻击 `受害者(内网):10.10.1.50 --> 受害者(内网):10.9.0.1:7002` ### 04、(内对内)登录MySQL数据库:19:15:40 `xx年5月19日,19:15:40 用root账号,成功登录其他服务器的数据库` 内对内攻击 `受害者(内网):10.10.1.50 --> 受害者(内网):10.182.11.1:3306` ![1649776403799.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-83bd5bcc3fcdee38792786d61f11dc010e0a4eb2.png) ### 05、(内对内)对多个服务器发起xp\_cmdshell 提权 `受害者(内网):10.10.1.50 --> 多个内网服务器,发起SQLserver 的xp_cmdshell提权` `多个被提权内网服务器: 10.79.76.94、 10.79.56.130` ![1649780310624.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-d24824cee3ad2f5ff4a792b2a7724f28a3aff07f.png) ### 思考: ```js #疑惑1: \*01、反连容易理解 \*怎么打进来的不知道 #疑惑2: \* 02、03、04、05:都分别是对不同网段的IP发起了攻击 问题1:攻击者怎么知道这些信息的?为什么可以直接发起攻击 如果没有人提供,那么就肯定做了扫描探测行为 问题2:数据库密码肯定泄露了 如果没有人提供,不可能直接登录成功(因为至今没发现爆破行为) #通过信息,做出判断: 1、要么信息泄露了,要么绝对做了内部信息探测和扫描 也就是说,攻击者一定上传了攻击工具\---上传载荷行为 攻击者一定做了扫描探测行为 ``` ### 06、定位多个攻击者工具 `由于10.10.1.50存在多个-成功-告警,遂上机排查,在 C:\Users\Public\Downloads 目录下` `发现多个攻击者工具:fscan、psexec、wminprvSE、超级弱口令探测工具` ![1649780789617.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-6542cbe0d87bca5ad2d447e8413df753aa5ba81c.png) ### 07、样本落地时间确认 16:53 `样本落地时间为:xx年5月19日 16:53` ![1649780998649.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-a902faae701a670c6174cdc72abacc28db4c78d9.png) ### 08、经确认,内网存在上百台弱口令 ![1649781160250.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-f81926f5556c5aecbbfefa2edacfa9b265f77247.png) ### 09、排查历史执行程序记录 `命令:C:\Windows\Prefetch` `经排查,攻击者在5月19日和5月20日执行了,ping、cmd、psexec等可执行程序` ![1649781458615.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-b4103f1e570e144e2dd0bf7737281f0682f685f9.png) ![1649781564009.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-f1aee8d051de817342e37379ff156bf7817c0e3a.png) ### 010、排查程序执行日志:7045 `样本启动时间:xx年5月19日 15:48 服务模式启动【系统日志 7045】` 但是,该样本已经被删除 服务名:BTOBTO ![1649781911160.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-125faf787d7d6b85623eb89407a95c23033f81c5.png) ### 011、(内对内)定位登录时间 15:37(域控2--->) 事件查看器:eventvwr --->安全日志(4624) `排查登录日志,5月19日 15:37,10.0.10.2 通过pth攻击成功登录10.10.1.50` 登录类型3:网络登录,别人(10.0.10.2)登录自己(10.10.1.50) ![1649782365990.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-4dba1f03344b23adeaea73302c48bf3dd6e4b993.png) ### 012、现阶段-攻击路径还原总结 ![1649785435357.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-1f32cf54436740544e717498ff24f502b8376b09.png) 05、10.0.13.10 ------------- `由于被(攻击者:内10.10.1.50)远程命令执行,所以确认被感染了,所以上机排查` ![1649785817384.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-3d87142f7399d874da59bf0e6f5ece1f52fca2e3.png) ### 01、(内对内)确认被pth方式登录过 18:03 和 21:16:09 分析日志:eventvwr 【4624】 `xx年5月19日,18:03 被pth方式登陆过` `攻击者(受害者):10.10.1.50 -----> 受害者:10.0.13.10` 行为:使用pass the hash方式登录到10.0.13.10 ![1649786756463.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-26359682fde0bb42dec3d5f42c431f10cb844c68.png) ![1649786899167.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-e0c12eee3fddee03b3d39927f2e11dd2532d385a.png) ### 02、(self)排查历史执行程序记录 21:16:09 `样本启动时间:xx年5月19日 21:16:09 服务模式启动【系统日志 7045】` 服务名:BTOBTO,与10.10.1.50 是一致的 ![1649787341400.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-1a8946079dd88012684c8fb01343e4bbe4238dd8.png) ### 03、现阶段-攻击路径还原总结 ![1649787731835.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-fca1582e3b702104b78e5608dbec642012a0e1e0.png) 06、10.10.0.188 -------------- ### 01、(内对外)反连攻击者frp隧道 16:55:03 `xx年5月19日,16:55:03` `受害者:10.10.0.188 -->反连攻击者frp隧道:87.87.87.87:33891` ![1649788419030.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-ad3b5073c0548710f99cb7562be2a7813f2cba88.png) ### 02、(内对外)反连攻击者frp隧道 17:03 `xx年5月19日, 17:03` `受害者:10.10.0.188 -->反连攻击者frp隧道:89.89.89.89:12345` ![1649788637063.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-7b21b7507b97b8762f86fffeb7844705ba73eff4.png) ### 03、(内对内OA)调用执行命令 5月20日 多个时间段/受害者 `xx年5月20日, 02:28:36 使用wmiexec调用执行命令` `受害者(攻击者):10.10.0.188 -->受害者:10.7.0.5` `xx年5月20日, 02:55:34 使用wmiexec调用执行命令` `受害者(攻击者):10.10.0.188 -->受害者:10.7.0.1` `xx年5月20日, 03:01:33 使用wmiexec调用执行命令` `受害者(攻击者):10.10.0.188 -->受害者:10.7.0.12` `xx年5月20日, 03:10:19 使用wmiexec调用执行命令` `受害者(攻击者):10.10.0.188 -->受害者:10.7.0.7` ### 04、(内对内) 5月20日 多时间端/受害者 其他攻击 通过时间筛选当前IP的攻击事件汇总,发现 `xx年5月20日, 使用PsExec调用执行命令 和 MS17-010漏洞攻击` `受害者(攻击者):10.10.0.188 -->受害者:10.128.9.4;10.128.9.1; 10.128.9.5` ![1649789370588.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-eda23cb8c8ec6f087eedc4dca41c0e566e1bb1f1.png) ### 05、思考 攻击者要执行01、02、03、04 1、那么攻击者,就必须要上传工具/载荷 2、攻击者是怎么进来的 ### 06、定位可疑文件 使用 Everything 工具查看 19 号至今修改时间较新的文件,发现名为 2.exe 于 serverscan.exe 的异常文件。 `语法:dm:20xx/05/19-20xx/06/21 exe` ![1649789779582.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-d4cc73aa8a62f0dcb9559b816ae0a13ed859c455.png) ![1649789883265.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-8aa849bbb54464b324f2fdb60ef36acfae4338ab.png) 1、攻击工具在同目录下发现很多 2、result.txt 为入侵这的扫描结果 ![1649789968645.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-2d5bd6f6712b538f691de2e9777dce4ace36d6f6.png) ### 07、检查启动项 `使用火绒工具查看启动项发现存在数字签名、公司名称异常的文件:` ![1649790023273.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-fa5fe6a75e8069da6c10feeafd573da0b2be6275.png) ### 08、检查计划任务 `发现于 xxx年 5 月 19 号 16 时 59 分已写入计划任务,建立持久性后门。` ![1649790239603.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-15fb7c951be7c8b35256521a9bc98a0ec259ff6a.png) ### 09、(内对内)被登录 15:37:21 (域控2---pth->) `xx年5月19日, 15:37:21 攻击者使用了pth方式登陆了受害者机子` 内对内 `受害者(攻击者):10.0.10.2 -->受害者:10.10.0.188` ![1649791221967.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-3a43b15edc2b4d6bcc4904b3a2771ca5b38b305d.png) ### 010、(内对内)被RDP登录 15:40:58(人事PC--->) `xx年5月19日, 15:37:21 攻击者使用了人事PC跳板机RDP登陆了受害者机子` 内对内 `受害者(攻击者):10.10.0.78 -->受害者:10.10.0.188` ![1649791500083.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-8162957b8c3355dd6a9029c72db7645743958aab.png) ### 011、(内对内)被RDP登录 16:58:08 `xx年5月19日, 16:58:08 攻击者使用了人事PC跳板机RDP登陆了受害者机子` 内对内 `受害者(攻击者):10.10.1.50 -->受害者:10.10.0.188` ![1649792008201.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-9cdfd6c06371ea9b4f585f9871e794ad388c1304.png) ### 012、现阶段-攻击路径还原总结 ![1649793447628.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-a1cc504718ce6736110766edfa1bf1141330ea50.png) 07、10.7.0.1(OA) --------------- `由于,10.10.0.188对所有OA都发起了攻击,怀疑也被感染,因此上机排查` ### 01、定位恶意程序 `发现 java.exe 进程下存在两个子进程 cmd.exe, 其中一个cmd.exe 执行了恶意程序 bind.exe` ![操作详解图9.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-677aa56508e39299da566ca31f92f49bdedc404b.png) ![取证图9.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-ce04b201bb913a50c25573a0f33a2e292fdd2ee2.png) ### 02、进入可疑程序-所在目录 `进入可疑程序-所在目录,发现目录存下一个 486896.txt 文本文件` `内容是: systeminfo 的输出内容` ![1649794257135.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-4cf878dd2599e417ebc83eff6d4163dd7d7df4c2.png) ### 03、(内对内)排查登录日志(内--->OA)-爆破 `5 月 20 日凌晨 1:32:44 攻击者对该主机进行暴力破解, 在 2:06 登录该主机` `攻击者:10.10.0.188 受害者:10.7.0.1` `4625:代表登录失败,`只有开始登录才会存在登录失败,所以这个时间就是暴力破解的开始时间 ![暴力破解证明图9.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-c39b9eda2bda242a30a7390ce7e6e6c7384efd70.png) ![暴力破解成功证明图9.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-0d4b71953628eeaf1ed8749200cc950b520f8cfc.png) ### 04、排查程序执行日志 2:06 【 7045】 `样本启动时间:xx年5月20日 2:06 服务模式启动【系统日志 7045】` 攻击者同样创建了 名为:BTOBTO 服务,调用执行 execute.bat 程序 ![1649795020178.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-28341a8c35f6a9af747c48f55fa0ef69b33902f0.png) ### 05、配合杀软手工+工具:定位其他黑客工具 `工具:杀软、everthing` `人工:意识(temp、用户目录、c盘、download...)` ![1649795264981.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-577d859c7d3a5ed897b1cea92012708ba4cd710a.png) ![1649795391720.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-587198fed5a4719155d577797d69d4eeba590b60.png) ### 06、疑问 为什么没有攻击路径总结呢? `因为10.7.0.1 OA,是受害者,是被攻击的对象,在设备没有传出该机子攻击其他人的行为时` `只需要对该台机子做取证和应急 恢复的工作就可以了` 08、10.7.0.4(OA) --------------- `由于,10.10.0.188对所有OA都发起了攻击,怀疑也被感染,因此上机排查` ### 01、定位恶意程序 `当前主机运行了恶意进程 bind.exe、远程工具 anydesk` ![1649796087446.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-cc28dabffc39259b88d4965685ddec5b9ab1ab70.png) ### 02、确定远程工具-落地和执行/访问时间 ![1649796509686.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-41e87415443bdf719e382798802987bd85b10e96.png) ### 03、分析anydesk -登录日志(失败) 分析 anydesk 日志,均为连接失败,说明攻击者并未通过 anydesk 连接成功 ![1649796675236.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-adb52187f25600ff4a07c1c5b9e70c6c4ec42f20.png) ### 04、定位黑客工具 `可执行程序类型:exe、bat、powershell` 全盘检索,半手工确认:黑客工具有(getpass.bat、fscan.ext、serverscan.exe、bind.exe) ![1649796932722.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-90489cf20d6ef729bd6e99cd2b6a52f9373aaffb.png) ### 05、(内对内)排查登录日志(内-->OA)成功1:32:41 `5 月 20 日凌晨 1:32:41 暴力破解成功并登录` `破解出账密的时间 :1:32:41` `攻击者(内网):10.10.0.188` ![1649797330882.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-ee6c3088d2102746bbdf1778d4a71c94cd382456.png) ### 06、(self)排查执行记录 2:04:36 `样本启动时间:xx年5月20日 2:04:36 服务模式启动【系统日志 7045】` 攻击者同样创建了 名为:BTOBTO 服务,调用执行 execute.bat 程序 `execute.bat内容如下:` ![1649815632431.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-ce94247c5d6d95a9ed2121a8d497f8b98929a2c5.png) ```js #execute.bat 补充 攻击手法:绕过CVE\-2019\-1040的基于资源委派攻击方法 功能和危害: 导出域管理员hash值\---既获取域管理员凭证 ``` ` Executing %COMSPEC% /Q /c echo cd ^> \\\\127.0.0.1\\C$\\\_\_output 2^>^&1 \> %TEMP%\\execute.bat & %COMSPEC% /Q /c %TEMP%\\execute.bat & del %TEMP%\\execute.bat` ### 其他发现:端口扫描行为 `黑客工具对 10.7.0.0/16 进行了端口扫描` ![1649815336953.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-b7f7267fb0ee93976bb1a237c81ff5b5098475dc.png) ### 06、疑问 为什么没有攻击路径总结呢? `因为10.7.0.4 OA,是受害者,是被攻击的对象,在设备没有传出该机子攻击其他人的行为时` `只需要对该台机子做取证和应急 恢复的工作就可以了` 简单的来说,你是无法100%还原攻击者具体做了哪些行为的 那么我们需要做的就是,确定,攻击样本,通过攻击样本,确定样本落地时间 在通过落地时间,寻找攻击者,进入客户服务器的方式 在通过落地时间,进入服务器的时间,确定攻击者的多样本执行时间 最终,确认相关行为,根除和恢复 09、10.7.0.12(OA)【内--->OA】 ---------------------------- `由于,10.10.0.188对所有OA都发起了攻击,怀疑也被感染,因此上机排查` ### 01、进程服务-无异常 ### 02、(内对内)排查登录日志 1:32:44 成功 `5 月 20 日凌晨 1:32:44 暴力破解成功并登录` `暴力破解-成功时间 1:32:44 成功` `暴力破解-开始时间:5月20日 1:32:41` `攻击者(内网):10.10.0.188 受害者:10.7.0.12(OA)` ![1649820793179.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-88ce390c2aef1ed30de11953816dbdc97de0716e.png) ![1649834443886.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-33bc462a8a15ccb89581dd933e997fa3f16cdf10.png) ### 06、疑问 为什么没有攻击路径总结呢? `因为10.7.0.12 OA,是受害者,是被攻击的对象,在设备没有传出该机子攻击其他人的行为时` `只需要对该台机子做取证和应急 恢复的工作就可以了` 简单的来说,你是无法100%还原攻击者具体做了哪些行为的 那么我们需要做的就是,确定,攻击样本,通过攻击样本,确定样本落地时间 在通过落地时间,寻找攻击者,进入客户服务器的方式 在通过落地时间,进入服务器的时间,确定攻击者的多样本执行时间 最终,确认相关行为,根除和恢复 010、先阶段3个OA-攻击路径还原 ------------------ ![1649835556697.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-fe1fc17078f602dc3100e36a38d1f4f77c6e31e6.png) 011、10.7.0.21 ------------- ### 01、(内对内)排查登录日志 20日2:11 通过对10.7.0.21的排查, 在系统安全日志内发现 攻击者使用内网横向手法pass the hash 方式登陆过 该主机 `攻击者(内网):10.10.0.188 ----> 受害者(内网):10.7.0.21` ![1649835860027.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-fb74637081c8a8050aeb3890f685067e2f3eb4d0.png) ### 02、(self)排查执行记录 20日 2:08:41【7045】 `样本启动时间:xx年5月20日 2:08:41 服务模式启动【系统日志 7045】` 攻击者同样创建了 名为:BTOBTO 服务,调用执行 execute.bat 程序 ![1649836447368.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-1c95da29f45bd79aad3c35ca063b5456b782e720.png) ### 03、现阶段-攻击路径还原 ![1649836855168.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-2cce6e9e092e10c26f01b3a691466e170b80f94e.png) 012、10.7.0.7(OA) ---------------- ### 01、(内对内)排查登录日志 20日3:12:05 通过对10.7.0.7的排查, 在系统安全日志内发现 攻击者使用内网横向手法 pass the hash 方式登陆过 该主机 `登录时间:xx年 5月20日 3:12:05` `攻击者(内网):10.10.0.188 ----> 受害者(内网):10.7.0.7` ![1649837053403.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-d356bc9a3f02eb9708e709d5b8cf82bc9097593c.png) ### 02、(self-false)排查执行记录 20日 3:13:09【7009】 `通过排查发现,样本启动失败:xx年5月20日 3:13:09 【系统日志 7009】` `查看系统日志发现服务 BTOBTO 存在错误信息,未执行成功` ![1649837327412.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-391cadec983a0a7df52ec03d3880228e531bd380.png) ### 03、现阶段-攻击路径还原 ![1649837472732.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-ea08f3058ad0e5b749f7cb8a971d13f975838496.png) 013、10.9.0.1 ------------ `xx年5月19日,19:06:57` `被成功执行了Webloginc漏洞,cve-2020-14883, 遂上机排查` ![1649837965378.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-4873ba24c6824af4c5de94b4dcc6c91e1e8565cc.png) ### 01、对登录日志进行排查 通过排查登录日志,在攻击发起时间之后的所有登录日志均为正常程序,至此所有排查完毕 ![1649838175411.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-9cfebbd4f126a24ef77909e705c9627ee99efb35.png) 0x03 完整-攻击路径还原 ============== 0x04 样本汇总 ========= `通过排查失陷主机, 提取了攻击者留下的文件汇总如下 :` 攻击样本捕获:10个 攻击样本类型:9个 ![1649838310789.png](https://shs3.b.qianxin.com/attack_forum/2022/05/attach-bc3229af27f9dfdf435a6f2e9b7cb1d8f57996d8.png) 0x05 样本分析汇总(待公布) ================ 主要是对样本的执行过程,行为、特征、家族等信息进行分析汇总 0x06 应急建议 ========= 1\. 排查主机上是否存在 bind.exe、 serverscan.exe、 fscan.exe、 LTWcotx1.exe、 2.exe、 AnyDesk.exe、 getpass.bat、 execute.bat、 PowerTools-master、 ew.exe。 而后查看当前进程中是否存在以上恶意文件名,如果存在结束进程并删除文件。 2. 修改主机登录口令,密码满足 8 位以上,且必须包含大小写字母、数字、特殊字符。 3. 对终端设备 3389 和 445 端口服务进行白名单限制访问。 4. 对域控服务器及域内机器及时更新系统补丁,防止被漏洞利用。 0x07 附录 ======= C2 地址 ----- ```php 85.85.85.85:9000 15.15.15.15:57192 75.75.75.75:123456 89.89.89.89:12345 87.87.87.87:33891 ``` 样本对应hash值 --------- ```php ab70d921d9f47cad23d01a831fc4 e9bb3fe97866e2f2ced28ca8004c 7ad3fe26834a30a1bf7fe277a170 b0ced233b1b196193b8d7cdf713e caafdd5953e64fe455b375f41c50 0bd698c3bbe18bf4940d69f0eb55 c8dce86d4556d955c51f4a1aab01 c8dce86d4556d955c51f4a1aab01 39eaec330e222fc9037da8bebb61 ```
发表于 2022-05-13 09:30:09
阅读 ( 20660 )
分类:
应急响应
19 推荐
收藏
0 条评论
请先
登录
后评论
Dnslog_95
2 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!