0x01 事情概述
前一段時間接到了銷售給過來的消息說某單位服務器出現問題了,但是出問題的是某雲服務器,出現外聯德國的行爲,告警行爲遠控,可能沒有日誌,還比較急,讓先支持處置,有可能的話幫忙溯源好抓人,給了個處置對的第三方師傅。
0x02 分析
畢竟給的信息是外聯遠控,如果是外聯的情況下一般就要考慮是否是灰黑產,這種情況下出現在個人終端的可能下要大於服務器,所以這個時候基本上就是殺毒,沙箱運行看是否會出現外聯行爲,如果是遠控類木馬的情況下,一般服務器被上傳的可能性比較高,釣魚類的可能是個人終端,這是基於服務關係來分析的。
0x03 遠程處置
第三方老師傅給了個vpn讓先給遠程看一下,正常情況下肯定是先要考慮備份鏡像,在鏡像中做操作,如果需要備份鏡像的話這裏我推薦使用``FTK``,備份之後再轉格使用vm打開就ok了,比較容易上手操作。
在物理機上直接操作會破壞證據,但是根據給的外聯地址去進行信息蒐集肯定是攻擊者掛的代理地址,沒有實際意義,沒有高交互的蜜罐的條件下想要實現反制和溯源的基本上是沒有可能的。
0x04 排查
火絨殺毒
windows日誌查詢
eventvwr
發現日誌並未被清除,如果說是實現了遠控,起碼就操作者行爲來講,還是講武德的。
windows日誌分爲五類
-
應用程序日誌
-
安全日誌
-
Setup日誌 #安裝日誌
-
系統日誌
-
Forwarded Events日誌 #轉發日誌
這裏主要看應用程序日誌和安全日誌即可,應用程序日誌即安裝應用程序產生的事件,安全日誌主要記錄用戶操作產生的日誌,例如登入/登出,清除日誌等。
事實上並沒有異常的登錄事件,從出現問題到服務器關掉的登錄事件以及操作日誌來說也沒有問題
查看定時任務
【----幫助網安學習,以下所有學習資料免費領!加vx:yj009991,備註 “博客園” 獲取!】
① 網安學習成長路徑思維導圖
② 60+網安經典常用工具包
③ 100+SRC漏洞分析報告
④ 150+網安攻防實戰技術電子書
⑤ 最權威CISSP 認證考試指南+題庫
⑥ 超1800頁CTF實戰技巧手冊
⑦ 最新網安大廠面試題合集(含答案)
⑧ APP客戶端安全檢測指南(安卓+IOS)
翻了一遍定時任務並未有新創建的定時任務
熟悉winserver2012的都清楚裝機初始的自動任務都存在,另外無其他特殊的計劃任務。
net user
無新增用戶
就單純從業務來講,不牽涉到內網部分,所以也根本不擔心內網橫向的風險。斷網條件下是無法通過查看連接狀態判斷是什麼程序觸發的,分析業務盤的文件
這個時候服務沒有起,可以發現使用的中間件,jar包是2017年的,但是有沒有打補丁不清楚,因爲我沒找到的patch文件以及其它像是weblogic的補丁jar包,這裏可能會有人有疑問,沒看見包就沒打補丁麼,不接受槓精提問,只是分析而已,這個時候跟開發和運維對接可以確定中間件服務對公網有映射,查看文件目錄,因爲查殺結果並沒有出來,在文件目錄下發現存在惡意文件
冰蠍馬不是嗎?
但是問題來了文件的屬性日期不會欺騙人,出現問題的時間是今年,但是這個文件屬性是去年的,這就有點兒意思了,除非還有一種可能,有其它木馬或者說是之前被利用未告警的。查看殺毒結果
找到文件分析,該木馬家族:CoinMiner的行爲特徵
根據情報庫去找
歸屬地是德國的,其實這種情況下已經可以交差了。但是令我比較在意的是中間件的RCE,因爲涉及到數據問題,第三方的師傅要求到單位使用鏡像內網復現。
確實找到了上傳點,確定上傳路徑
xxx/xxx/x/x/x/x/x/x/mages/shell2.jsp
連接木馬可成功
這時候有從雲廠商那裏要來的日誌,量很少,但是沒有關於weblogic利用的日誌
這是比較有意思的,到這裏其實只有一種情況,服務器是去年被入侵的,但是收到的通知是異常外聯遠控,可能只是基於情報庫而不是從很長一段時間的監測爲根據,只能說是意外發現了。
實驗推薦
實驗:內存鏡像取證(合天網安實驗室) 點擊進入實操>>
更多靶場實驗練習、網安學習資料,請點擊這裏>>
搜索
複製