freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

记一次Windows下的应急过程
2021-01-15 23:27:24
所属地 山东省

一、概述

在一个夜黑风高的夜晚,正在酣眠突然手机响起,电话那头传来了同事焦急的声音。某用户服务器被入侵了,需要进行调查取证,但是关键数据已经被运维人员删除,需要我们协助处理一下……

作为一个经验的(上了年纪的)安服工程师,接到这个电话后就在也睡不着了,数据被删除了,明天我去现场能干什么?带着这个问题我翻开了被尘封在角落里N年的一遍关于数据恢复的书《数据恢复技术深度揭秘》,已知条件为:目的服务器是Windows Server2008 被删除文件名为:shell.jsp带着这几个问题,重点看了windows系统相关书数据恢复内容如GPT磁盘分区等。以上内容并非工作需要或者想真正获取到什么东西,而是为了自己在没有找到任何线索的时候能够给出一个专业的答复而准备的答案(换句话说其实就是吹牛先打下的草稿)

二、检查

到了现场发现基本确定了下面几条信息:

1. 公网某个系统存在struts2漏洞,且漏洞监控人员发现已经有人对该漏洞进行利用,上传了名为shell1.jsp的后门文件。

2. 通报的后门文件已被运维人员删除(在接到通报后的第一时间被运维人员删除)

3. 由于内部原因必须找到被删除的后门文件

==================分割线===============

在这里我思考的第一个问题是,监控人员可以通过一个Struts漏洞就可以发现攻击者上传的后门?而且还提供了连接的截图。。闪过这个念头我得出的第一个想法是系统应该不止一个后门,因为运维人员在进行恶意文件删除的时候肯定只是删除的通知中给出的文件。

相对此处,便拿出万能的D盾,先扫一波,由于当时开发运维不再现场,应用目录用户无法确定,因此我就指定整个D盘为扫描对象,结果确让人意外,可疑文件找到很多,后门文件找到两个,其中一个是已经被开发人员删除了的文件,临时保存在回收站。

1610722348_6001ac2c560e3817754da.png!small

查看shell后门文件后发现基本都是一些种后门的操作,部分内容如下:

1610722855_6001ae279e48d67556e93.png!small1610722876_6001ae3c88b0c15d1800c.png!small1610722921_6001ae69cec2bf9a2224f.png!small

1610722950_6001ae8639be93d12d26a.png!small

查看对应的后门文件路径后果然发现st.exe后门文件

通过在线沙箱分析st后门结果如下:

1610722673_6001ad71880507a62b421.png!small

程序回连地址如下:

1610723108_6001af24cec1d3f60aede.png!small

基本可以确定目标站点是一台僵尸主机。

1610723142_6001af461e594ba0690ba.png!small

文件内容如下:

1610723182_6001af6e7c27575cb0fe6.png!small


1610723276_6001afccc9f1bcd10c33c.png!small

文件丢入沙箱分析结果如下:

1610723325_6001affdaabd37d7c3f58.png!small

程序使用地址如下:

1610723363_6001b023a2263673dd7a7.png!small

矿池地址如下:

1610723394_6001b04281402a9b7ccad.png!small

完全确定服务器沦陷,且被人种下挖矿程序。在服务器端查找对应内容如下:

攻击者在服务建立用户

1610723627_6001b12b8bfd54b64db11.png!small

服务器系统目录下发现子系统文件夹,且目录下众多恶意文件不在一一分析。

1610723660_6001b14cdc85e89a869c4.png!small

服务排查过程中发现系统服务中已存在挖矿软件启用服务

1610723698_6001b1725d33927c9dc93.png!small


1610723724_6001b18c82bc0ffda1afc.png!small

分析过程中发现一个值得思考的问题:

1610723823_6001b1efe45dc9595407e.png!small

如果不良攻击者使用了你编写的webshell攻击了服务器,对方报警后通过webshell备注的作者信息溯源到了你,你是否承担责任呢?

PS:

1. 历史事件,图片来自文档因此有一些不清楚多见谅吧。

2. 文中的部分细节如果想讨论可以留言

3. 希望大佬能够提出改善建议。

# 应急处置
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录