奇安信攻防社区-记两次内网入侵溯源

记两次内网入侵溯源

1.1、入侵告警
========

1、某天深夜主机防护突然爆出CS木马后门，这攻击队不讲武德呀，还好没睡着

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-b99ead5a037f7e8496f068236b54031cf3f99ec6.png)

2、赶紧叫醒旁边看流量设备的哥们儿，尝试Shiro 反序列漏洞攻击成功

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-76824d98c66e049ef6ce1d84b6ab120b66879460.png)

3、测试目标网站存在shiro反序列化漏洞

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c6e543105665ebd4465ba2b5cc70b98ca50fb05f.png)

1.2、上机排查
========

1、上机将CS木马下载下来，丢到云沙箱中运行，发现外联IP

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-03cd25b3a5e6b5e29b72cea25cb1121af5990250.png)  
2、根据态感的告警时间排查日志，发现文件上传

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c74b03155b8587e8aa2c742e60ab705d87e32461.png)

3、上机排查木马文件，找了好久没找到木马文件，一个个打开文件查看，终于找到了木马，哥斯拉的jsp木马

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-97b45c32ac9682c1c10283ea51cee537cde78c7e.png)

可以看到攻击者以及将木马文件修改了名称与时间，企图伪装在正常文件中

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-213f8f739ca734d74c81ff6455845bd2bb987c45.png)  
排查发现反弹shell，IP与CS外联地址一致

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-116d5c35dd6972a02e4c2475ab93d698db64a2e8.png)

攻击者还下载了fscan扫描器，进行了扫描，IP与CS外联地址一致

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-7a540b5ca511db2f6a88d7e2538496efd5411cb6.png)

fscan扫描结果

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-3ab69b75fa8c4fc02b8d5abe327c998b35c3531f.png)

1.3、溯源
======

1、根据IP查询到域名

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-6e5d3579e4d61eceb065734ba3ca5be3db01d59a.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-eb3b7090d7c34374d5a54e1ded3a4fe1e51eae78.png)

2、直接访问域名，发现为个人博客

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-6db294bdc36ae15a2db713cf95dc3932e785815b.png)

博客的文章没有什么发现，但是在查看友链时发现了几位眼熟的ID

通过其中一个昵称找到了其CSDN账号，通过CSDN的找回密码功能，爆破出了手机号，在脉脉上搜索发现为某厂渗透测试工程师，通过另外一个昵称询问熟人发现也是某厂员工，我们溯源的目标很大概率也是该公司的人。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-b359cb56f746861bc536da2037cbf51bb048b81d.png)

3、后续通过github搜索域名，查到了个人博客备份仓库

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c8ac7a7ee7d3c67723600281793db9dc5366c099.png)

通过GitHub接口查询到仓库同步代码的邮箱号<https://docs.github.com/cn/graphql/overview/explorer>

```php
{
 repository(name: "name",owner: "test1278"){
  ref(qualifiedName: "master"){
  target{
  ... on Commit {
  id
  history(first: 5) {

edges {
  node {
  author {
  name
  email
  }
  }
  }
  }
  }
  }
  }}}

```

查询到攻击者的QQ号

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-8bdd77b4aa967aa18a9267fc08455ff75dc14e32.png)  
通过API接口查询QQ号绑定的手机号

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c921dc75024e01937ae8f42956bd5fc3fef49453.png)

4、通过手机号加钉钉好友，发现名字，想通过支付宝转帐猜解姓氏，但是目标把支付宝搜索关闭了

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-64b338cc66fcded2318f3401b4929507d87e397d.png)

只能发动群众力量在微信中搜索微信昵称，最终在一个客户群中发现该名攻击者，确实是某厂的工程师。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-db0a21c4ca735c96e1c00c96d395b867bc172908.png)

XX厂商 XXX邀请攻击者加入了群聊

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-73c91d160235ef24f808314456ce694f1d0a6ec4.png)

1.4、总结
======

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-e03e594e3c65447e9ad1614a36dc9d0eca1823d7.png)

2.1、排查
======

1、在某次攻防演练中，笔前往客户现场进行内网入侵排查处置溯源工作。到达现场后，笔者惊讶地发现，客户唯一的安全设备是一台防火墙。在这种情况下，只能依赖这台防火墙进行深入的排查。

在与客户进行了初步的交流后，他们指出了几台可能存在问题的服务器。在登录这些服务器后，发现都运行着Tomcat服务。于是，笔者决定从Tomcat的日志文件中寻找线索。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-6ff9395ac425c932a0ae1fad5d2b3d8db06b46af.png)

2、经过长时间细致的排查，发现从凌晨0时39分起有大量的异常扫描行为

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-0e01ff22795526c4b1842cf774fac53fc7565f5d.png)

在凌晨0时40分发现struts2命令执行漏洞被利用成功。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c3fc041171e8d2a3cd136f7ce8f565dfae21de37.png)

在另一台服务器发现，凌晨2时02分万户ezOFFICE smartUpload.jsp 任意文件上传漏洞被执行成功。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-2cd41a687cb3804489c5f93e4a7c4dcbc2189888.png)

3、在 Tomcat日志上显示的XXX.XX.1.142为F5转化后的地址,在防火墙上查看真实攻击IP为XXX.XXX.X.91。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-188f7279d18f77509463e6cd1000db2013a90139.png)

但是在威胁情报平台并未查到有效信息

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-a26d76e62a28386208d1598ccef66974afa250eb.png)

4、在受害主机上发现了frp以及fscan，frp远控服务器地址XXX.XXX.72.91

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c3bfa14b9f745e5e12f7244ff3d616f0072ad125.png)

域名反查，找到一个疑似域名所有者姓名的域名，但是搜索域名并未找到更多信息。

5、天无绝人之路，在另一台受害主机上找到了更多信息。KSA.dat（看雪安全接入）是一款傻瓜式的一键接入私有网络的工具

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-75aaecdc78b7c9196e098f9313f9d61eb5f7e44f.png)  
在KSA.log找到了更多的攻击者服务器地址，其中有个XXX.XX.XXX.87

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-32d3ce5cf06dad1c68f0723454eed9efd150e35c.png)

2.2、溯源
======

1、对XXX.XX.XXX.87进行域名反查，发现存在备案人姓名（不是，真有人实名上网啊）

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-d80605d3a2af518fc7b0b062b233ee6ec9df2313.png)

2、对域名解析IP为XXX.XX.XXX.87，证明现为攻击者所有

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-723cc6c02c191fb281a8c2e0cc46fcac19e2ad0a.png)

通过搜索引擎搜索，侧面证明为安全从业者

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-7b8b42cba87b708bd07afc160c90c8b88e8e0bee.png)

网站80端口为nps服务

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-91b6f857492af41dc856cd8376856cc1e85748e5.png)

3、XXX.XX.XXX.87的数字证书显示颁发者和使用者均为xxx，和备案人的姓氏是相同的

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-a49f8d49a975b106ff985b00fdacba03e8ede093.png)  
4、对xxx进行搜索，发现其csdn账号

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-1e92a03505ed47513bf2c4d36bc68cf23a25437a.png)

通过CSDN的密码找回功能，爆破手机号

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-9481a22c645f535e17f298e7a4932469429678b2.png)

成功爆破出手机号181\*\*\*\*0865

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-ee32a83f358b1d70d8ea81fafe851cfa3beacae7.png)

并且在gitee中也找到手机号：181\*\*\*\*0865，QQ等信息。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-c735495a19ba8e113b405bac6ed8447e849b36f8.png)  
5、使用百度云盘的找回账号的功能，输入服务器IPXXX.XX.XXX.87，可以看到手机号后四位和CSDN手机号后四位是一样的，可以确定为同一人所属。使用181\*\*\*\*0865进行支付宝转账认证，也可确认为同一人所属。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-1f6d90e3905dd7d37334aa8fbb429c352184b2b5.png)

2.3、总结
======

本次于应急的难点在于客户那边没有除了防火墙外的安全设备，寻找入口点消耗了大量时间，只能一个个看日志文件，找到入口点锁定了受害主机后寻找入侵痕迹，从反代软件的日志中找到了外联服务器IP，从IP数字证书找到了用户常用昵称，搜索找到了CSDN账号，爆破获得手机号，域名备案人锁定了真实姓名，反向印证同一人。只是可惜没有找到明确的单位。

![image.png](https://shs3.b.qianxin.com/attack_forum/2023/09/attach-0149d18c50767bbb24253e5704bd154531357aa8.png)

发表于 2023-10-07 09:00:00
阅读 ( 7968 )
分类：应急响应

3 条评论

云舒 2023-10-07 10:39

刚刚去看了下csdn找回密码处，手机号只显示前后两位了，师傅图中的前三后四位是什么时候的截图呢

叨仔民学安全 2023-10-08 18:51

学习大佬

阿叔 2023-10-16 21:43

看来多开几张卡有必要的