freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Windos应急响应与Linux应急响应总结与实战案例
2023-11-09 20:46:06

Windows应急响应

案例

查看态势感知,发现受害主机被上传到Jsp木马,此IP经过威胁情报,被判断为恶意IP。

结论:确认受害主机存在文件上传漏洞被攻击者成功探测到。

于 13:16:16和13:21:14检测到攻击者ip:xxx.xxx.xxx.xxx1与xxx.xxx.xxx.xxx2利用冰蝎成功连接上jsp木马。

结论:确认xxx.xxx.xxx.xxx1与xxx.xxx.xxx.xxx2已经成功用冰蝎连接jsp木马成功。

于13:17:03,受害主机开始回连攻击者ip:xxx.xxx.xxx.xxx1,进行frp进行内网穿透。

小结结论:针对目标受害主机攻击者xxx.xxx.xxx.xxx(北京)13:11:18开始上传恶意文件jsp木马,于13:16:1613:21:14 xxx.xxx.xxx.xxx1与xxx.xxx.xxx.xxx2利用冰蝎连接jsp木马成功,并在13:17:03上传frp进行内网穿透,回连ip地址:xxx.xxx.xxx.xxx3。

问题主机深度分析:

对受害主机进行了以下上机排查。

网络连接及进程排查

网络连接排查【netstat -ano】:发现可疑网络连接,受害主机回连xxx.xxx.xxx3。

找到PID后,利用命令【tasklist | findstr pid】,得到可疑软件的名称

使用ProcessExplorer发现temp.exe程序无描述、无签名为可疑exe程序,打开文件所在目录。

用沙箱对软件进行分析,得出为恶意软件

用户排查

用户排查:发现可以用户test111,并被添加到管理员组中,创建时间为13:20。

win+R打开compmgmt.msc 计算机管理,发现没有隐藏用户

1699013647_6544e40f3f9ae520d041b.jpg!small?1699013646813

启动项排查:【Win+R,输入control->管理工具->系统配置】,未发现可疑的启动程序

1699013891_6544e5033fe4c95cc8535.png!small?1699013891183

查看注册表,也未发现可疑启动程序

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

1699014045_6544e59d1550c43699a1a.png!small?1699014044709

计划任务排查,win+R打开compmgmt.msc 计算机管理,未发现可疑

1699014121_6544e5e961a78bb080b9f.png!small?1699014122148

文件痕迹排查

在C:\xxx\xxx\upload\xxxx\xx\xx\xxxx文件夹下发现jsp木马文件jjj.jsp。

1699014184_6544e628e6cdba0a78303.png!small?1699014184442

1699014211_6544e6435497657b312aa.png!small?1699014211125

1699014225_6544e65148100ef658820.png!small?1699014224941

文件痕迹排查:发现可疑文件d.exe,经沙箱检测为恶意软件,会进行收集系统信息,读取计算机名称,收集操作系统硬件相关的指纹信息。

1699014272_6544e6806a4055827e7b6.png!small?1699014271932

1699014323_6544e6b39820e32692dff.png!small?1699014323329

web日志分析

web日志分析:对今日攻击者进行分析,搜索带有access的日志文件

攻击者xxx.xxx.xxx1从13:09:46开始访问网站,在13:11:26开始访问上传的jsp木马文件。

1699014501_6544e765a1bc8242c450d.png!small?1699014501354

攻击者xxx.xxx.xxx1从13:20:42开始访问jsp木马

1699014552_6544e7983cb6f6d3ec9de.png!small?1699014551835

攻击者于13:20:14 添加了后门用户test111,并将其添加到管理员组中。

1699014601_6544e7c9111bd1d3fe853.png!small?1699014600934

小结:通过对问题主机的排查,发现可疑网络连接,受害主机回连xxx.xxx.xxx3,对进程进行定位,发现可疑程序temp.exe,经沙箱检测,为frp回连恶意软件;在进行用户排查时,发现被创建后门用户test111,并被添加到管理员组;在c:\windows\temp目录下发现可疑程序d.exe,经沙箱检测为收集系统信息恶意程序;在C:\waterp\xx\upload\xxxx\xx\xx\xxx发现上传的jsp木马。排查开机自启项,计划任务等无可疑行为。

Linux应急响应

案例

通过态势感知发现base反弹和bash命令执行

1699014928_6544e91089f9f68719753.png!small?1699014928210

上机排查

失陷原因定位

查看Apache Tomact Web日志,于15:07发现可疑文件test.jsp文件,疑似攻击者上传的Webshell后门文件,根据日志分析疑似存在struts2漏洞【查看日志路径存在struts2】。

查看test.jsp文件内容,可确认该文件为Webshell后门文件

1699015099_6544e9bb47503073215d9.png!small?1699015099416

经过测试发现该网站存在struts2漏洞。

1699015125_6544e9d533347957f09fd.png!small?1699015124978

上机排查

查看历史命令history,发现攻击者的Bash反弹命令,并且发现攻击者还上传扫描工具Kscan文件到tmp目录下,尝试扫描172.xx.xx.xx/24网段,且连接Mysql数据库。

1699015221_6544ea35c7fe46e5ef629.png!small?1699015221369

查看/tmp目录下,发现存在kscan扫描工具。

1699015259_6544ea5b222890af04165.png!small?1699015258764

看/etc/passwd文件,无可疑用户名【awk -F : '$3==0{print}' /etc/passwd】

1699015282_6544ea72cbcd98d1b8878.png!small?1699015282372

查看定时计划任务,无可疑计划任务

1699015353_6544eab9542df228048b9.png!small?1699015353264

查看网络连接情况,因主机进行隔离,攻击者的Bash反弹断开,无其它可疑网络连接。

1699015395_6544eae37b85170a06a2e.png!small?1699015395217

查看进程情况,无可疑进程。【ps -ef | more】

1699015421_6544eafdd1c10e23e5169.png!small?1699015422173

查看开机自启项,无可疑情况

1699015454_6544eb1e09ad932c7fd35.png!small?1699015454129

此外,检查系统日志【/var/log】,服务等无异常行为。

小结:整体攻击分为3个阶段,第一阶段攻击者通过Web应用暴露在互联网上登录点,进行Struct2攻击,上传Webshell后门文件,连接Webshell,此阶段使用的源IP为xxx.xxx.xxx1;第二阶段攻击者通过连接Webshell,进行Bash反弹和上传扫描攻击kscan,此阶段使用的源IP为xxx.xxx.xxx2;第三阶段攻击者通过上传的扫描攻击kscan,尝试扫描内网存活地址,反弹Bash,尝试进行Mysql连接等恶意行为。

本文作者:, 转载请注明来自FreeBuf.COM

# 网络安全 # 攻防演练 # 原创 # 安全应急响应
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录