admin管理员组

文章数量:1794759

应急实战(9):一次简简单单的应急

1. Prepare

1.1 开启日志记录

开启sysmon日志记录

开启apache日志记录

开启mysql日志记录

1.2 优化日志策略

优化security日志覆盖策略

2. Detect

2.1 运维发现

日常登录服务器,看到桌面的“masScan_1.6”文件夹,心中一片窃喜:来活了!

3. Contain

3.1 暂无需要遏制的事项

排查网络连接情况,没有需要处置的恶意网络连接。

排查进程情况,没有需要处置的恶意进程。

4. Eradicate

4.1 phpMyAdmin弱口令漏洞

排查apache日志,发现美国的IP地址91.246.37.127发起过两轮相同的自动化攻击,每轮约持续半分钟,各产生26条相同日志。

第一轮持续时间是2024年10月02日20时18分15秒至42秒,关键日志如下:

日志含义是:

1、登录phpMyAdmin

2、执行3个SQL语句,获得webshell

3、执行6个webshell命令

第二轮持续时间是2024年10月02日20时21分59秒至22分30秒,日志与第一轮相同:

由此可知,攻击者利用的漏洞是phpMyAdmin弱口令,修改为强口令即可。

4.2 Webshell后门

排查mysql日志,以及webshell文件,可知第一轮攻击执行的3个SQL语句是:

1、利用文件导出函数INTO OUTFILE写入webshell文件5d.php

2和3、利用mysql日志文件写入webshell文件dpvebhqgkc.php

继续排查webshell文件,可知第二轮攻击执行的3个SQL语句,与第一轮相同:

由此可知,攻击者主要遗留的webshell后门,是:5d.php、dpvebhqgkc.php、vvmbhvehak.php,直接删除就行。

4.3 通过Webshell创建的后门

排查sysmon日志,发现第一轮攻击执行的6个webshell命令,只有4个执行成功:

1、利用echo命令直接写入webshell文件5d.php;

2、同上

3、下载恶意程序,命名为gauexjqv.exe,并执行;

在执行gauexjqv.exe时,会执行C:\5671.vbs脚本,但没找到该脚本,可能是gauexjqv.exe程序创建并执行然后删除了。

4、同上

继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图:

1、

2、

3、

4、

目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe进行分析。

分析结果:

其中以下行为是创建并执行然后删除C:\5671.vbs脚本,与刚才的分析吻合。

恶意程序gauexjqv.exe将自身拷贝到其他目录下,需要找到并删除:

创建了启动恶意程序gauexjqv.exe的服务,但实际并未创建成功,需要找到并删除:

4.4 RDP弱口令漏洞

至此仍未发现与桌面的“masScan_1.6”文件夹相关的攻击行为,经排查发现这是两起独立的攻击事件。

排查security日志,发现湖北的IP地址111.180.207.58于2024年10月03日05时45分,成功登陆过4次Administrator账户。

且该IP地址存在大量爆破Administrator账户的记录,由此可判断攻击者是通过爆破弱口令获得了登录密码。

半小时后,伊朗的IP地址5.121.6.28于2024年10月03日06时12分,成功登陆过3次Administrator账户。该时间与桌面的“masScan_1.6”文件夹创建时间相差3分钟。

但是该IP地址并无登录失败记录,不像是爆破弱口令获得的帐号密码。由此可猜测,但也仅仅只是猜测,湖北IP爆破出Administrator密码后,交给了伊朗IP进行登录利用。

由此可知,攻击者利用的漏洞是RDP弱口令,修改为强口令即可。

4.5 通过RDP创建的后门

排查sysmon日志,发现攻击者首先部署了winpcap工具。

C:\Users\Administrator\Desktop\masScan_1.6\winpcap-4.13.exe

net stop npf

net start npf

然后使用masscan扫描互联网上开放了3389端口的服务器,注意这里的svchost是恶意程序。

"C:\Windows\svchost" "C:\Users\ADMINI~1\Desktop\MASSCA~1.6\masscan.exe" -iL Input.txt -oL Output.txt --open --rate 1000000 -p3389 --exclude 255.255.255.255 --open-only

目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对恶意程序svchost进行分析。

分析结果:

发现“文件默认打开程序”后门,需将注册表修改回来。

改回前:

改回后:

4.6 未发现其他后门

未发现自启服务后门

未发现自启程序后门

未发现系统用户后门

未发现计划任务后门

未发现WMI工具后门

5. Recover

不涉及

6. Follow-Up

不涉及

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。原始发表:2024-10-05,如有侵权请联系 cloudcommunity@tencent 删除日志程序登录脚本漏洞

本文标签: 应急实战(9)一次简简单单的应急

版权声明:本文标题:应急实战(9):一次简简单单的应急 内容由林淑君副主任自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.xiehuijuan.com/baike/1754850908a1707306.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。