第六課:反攻的一次溯源--項(xiàng)目實(shí)戰(zhàn)3
專注APT攻擊與防御
https://micropoor.blogspot.com/
事件過程:某廠商日志分析發(fā)現(xiàn)IP,但是日志記錄的其中行為直接大量登陸內(nèi)網(wǎng),并無攻擊過程,以及攻擊手法,導(dǎo)致內(nèi)網(wǎng)安全加固不知從何下手,并且不知道有什么后門需要清除,而且日志里攻擊者IP為外國(guó)IP,不確定真實(shí)IP,還是代理IP。無法定位真正攻擊者的地理位置。
思路:反入侵得到攻擊者機(jī)器權(quán)限,入侵現(xiàn)場(chǎng)還原,摸清入侵思路。并且須知入侵者的相關(guān)后門遺留,以便處理后門。抓取入侵者的真實(shí)IP獲得地理位置。并按照攻擊者的攻擊路線加固相關(guān)漏洞安全。
一:日志分析
1.某廠商日志:該IP 為韓國(guó),login 狀態(tài)全部為success
221-ip成功,進(jìn)入內(nèi)網(wǎng)多個(gè)IP。但無其他記錄,如過程,手法。無法安全加固客戶內(nèi)網(wǎng)。無法分析出哪里出現(xiàn)問題,只能找出起始被入侵成功的IP,需要得到攻擊者的電腦權(quán)限,還原攻擊過程,才可得知被攻擊者的弱點(diǎn)并加固。
在tns日志中,oracle相關(guān)存儲(chǔ)得到入侵者相關(guān)的存儲(chǔ)利用。如downfile‐smss.exe,地址為115.231.60.76
此時(shí),我們得到2個(gè)攻擊者IP,1個(gè)樣本IP分別為韓國(guó),河南,樣本1為:smss.exe
二:現(xiàn)場(chǎng)還原
1刺探攻擊者的服務(wù)器相關(guān)信息:
起初連接到入侵者IP的服務(wù)器,IP歸屬地為韓國(guó),并且服務(wù)器也為韓文,非中國(guó)渠道購(gòu)買,起初以為攻擊者為國(guó)外人員。
但當(dāng)刺探攻擊者服務(wù)器21端口時(shí)發(fā)現(xiàn)并非真正的“國(guó)外黑客”
于是,暫時(shí)定為攻擊者為國(guó)內(nèi),需要摸查的IP鎖定為中國(guó)范圍內(nèi)IP整體思路臨時(shí)改為:需要得到該服務(wù)器的權(quán)限,查看所有登陸成功日志,找出IP以及
對(duì)應(yīng)時(shí)間。
入侵思路臨時(shí)改為:該服務(wù)器為懂攻防人員所擁有,盡可能在該服務(wù)器不添加任何賬號(hào)或留有明顯痕跡。
由于韓國(guó)服務(wù)器此段有DHCP記錄查看應(yīng)用,該應(yīng)用存在loadfile漏洞,并且得知目標(biāo)服務(wù)器存在shi絀?后門,
攻擊思路為:16進(jìn)制讀取shi絀?后門,并unhex本地還原exe,得到樣本2,本地分析該樣本,從而不留痕跡得得到攻擊者服務(wù)器。
至此:目前我們得到2個(gè)攻擊者IP,2個(gè)樣本,IP分別為韓國(guó),河南,樣本分別為smss.exe與sethc.exe
三:本地樣本分析
樣本1:生成替換dll。并且自啟動(dòng),反鏈接到某IP的8080端口,并且自刪除。為遠(yuǎn)控特征。
遠(yuǎn)控樣本md5值:
樣本2:shi絀?后門,VB編譯,并且未加殼。思路為,反匯編得到樣本密碼以及軟件工作流程。
Shift后門樣本MD5:
特征為密碼輸入錯(cuò)誤,呼出msgbox
得到該程序相關(guān)工作流程,當(dāng)輸入密碼正確時(shí),調(diào)出taskmgr.exe(任務(wù)管理器)以及cmd.exe
四:測(cè)試并取證
1輸入得到的密碼。
當(dāng)密碼正確時(shí)呼出相關(guān)進(jìn)程,并且得到system權(quán)限。
2取證以及樣本截留:
攻擊者真實(shí)IP以及對(duì)應(yīng)時(shí)間:
得到真實(shí)入侵者的IP歸屬地為:四川省眉山市 電信
并且桌面截圖:
再該服務(wù)器上留有大量以地名名為的txt文本(如beijing.txt)。文本內(nèi)容為IP,部分內(nèi)容為賬號(hào),密碼,ip。其中dongbei.txt(被攻擊者歸屬地為東北)找到某政府對(duì)應(yīng)IP。
至此通過該服務(wù)器的桌面相關(guān)軟件以及相關(guān)攻擊者本文記錄,得知攻擊者的入侵思路,以及部分后門留存位置特征等。以此回頭來加固某政府內(nèi)網(wǎng)安全以及切入點(diǎn)。
Micropoor
?
