Windos应急响应与Linux应急响应总结与实战案例
案例
查看态势感知,发现受害主机被上传到Jsp木马,此IP经过威胁情报,被判断为恶意IP。
结论:确认受害主机存在文件上传漏洞被攻击者成功探测到。
于 13:16:16和13:21:14检测到攻击者ip:xxx.xxx.xxx.xxx1与xxx.xxx.xxx.xxx2利用冰蝎成功连接上jsp木马。
结论:确认xxx.xxx.xxx.xxx1与xxx.xxx.xxx.xxx2已经成功用冰蝎连接jsp木马成功。
于13:17:03,受害主机开始回连攻击者ip:xxx.xxx.xxx.xxx1,进行frp进行内网穿透。
小结结论:针对目标受害主机,攻击者xxx.xxx.xxx.xxx(北京)13:11:18开始上传恶意文件jsp木马,于13:16:16和13:21:14 xxx.xxx.xxx.xxx1与xxx.xxx.xxx.xxx2利用冰蝎连接jsp木马成功,并在13:17:03上传frp进行内网穿透,回连ip地址:xxx.xxx.xxx.xxx3。
问题主机深度分析:
对受害主机进行了以下上机排查。
网络连接及进程排查
网络连接排查【netstat -ano】:发现可疑网络连接,受害主机回连xxx.xxx.xxx3。
找到PID后,利用命令【tasklist | findstr pid】,得到可疑软件的名称
使用ProcessExplorer发现temp.exe程序无描述、无签名为可疑exe程序,打开文件所在目录。
用沙箱对软件进行分析,得出为恶意软件
用户排查
用户排查:发现可以用户test111,并被添加到管理员组中,创建时间为13:20。
win+R打开compmgmt.msc 计算机管理,发现没有隐藏用户
启动项排查:【Win+R,输入control->管理工具->系统配置】,未发现可疑的启动程序
查看注册表,也未发现可疑启动程序
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
计划任务排查,win+R打开compmgmt.msc 计算机管理,未发现可疑
文件痕迹排查
在C:\xxx\xxx\upload\xxxx\xx\xx\xxxx文件夹下发现jsp木马文件jjj.jsp。
文件痕迹排查:发现可疑文件d.exe,经沙箱检测为恶意软件,会进行收集系统信息,读取计算机名称,收集操作系统硬件相关的指纹信息。
web日志分析
web日志分析:对今日攻击者进行分析,搜索带有access的日志文件
攻击者xxx.xxx.xxx1从13:09:46开始访问网站,在13:11:26开始访问上传的jsp木马文件。
攻击者xxx.xxx.xxx1从13:20:42开始访问jsp木马
攻击者于13:20:14 添加了后门用户test111,并将其添加到管理员组中。
小结:通过对问题主机的排查,发现可疑网络连接,受害主机回连xxx.xxx.xxx3,对进程进行定位,发现可疑程序temp.exe,经沙箱检测,为frp回连恶意软件;在进行用户排查时,发现被创建后门用户test111,并被添加到管理员组;在c:\windows\temp目录下发现可疑程序d.exe,经沙箱检测为收集系统信息恶意程序;在C:\waterp\xx\upload\xxxx\xx\xx\xxx发现上传的jsp木马。排查开机自启项,计划任务等无可疑行为。
Linux应急响应
案例
通过态势感知发现base反弹和bash命令执行
上机排查
失陷原因定位
查看Apache Tomact Web日志,于15:07发现可疑文件test.jsp文件,疑似攻击者上传的Webshell后门文件,根据日志分析疑似存在struts2漏洞【查看日志路径存在struts2】。
查看test.jsp文件内容,可确认该文件为Webshell后门文件
经过测试发现该网站存在struts2漏洞。
上机排查
查看历史命令history,发现攻击者的Bash反弹命令,并且发现攻击者还上传扫描工具Kscan文件到tmp目录下,尝试扫描172.xx.xx.xx/24网段,且连接Mysql数据库。
查看/tmp目录下,发现存在kscan扫描工具。
看/etc/passwd文件,无可疑用户名【awk -F : '$3==0{print}' /etc/passwd】
查看定时计划任务,无可疑计划任务
查看网络连接情况,因主机进行隔离,攻击者的Bash反弹断开,无其它可疑网络连接。
查看进程情况,无可疑进程。【ps -ef | more】
查看开机自启项,无可疑情况
此外,检查系统日志【/var/log】,服务等无异常行为。
小结:整体攻击分为3个阶段,第一阶段攻击者通过Web应用暴露在互联网上登录点,进行Struct2攻击,上传Webshell后门文件,连接Webshell,此阶段使用的源IP为xxx.xxx.xxx1;第二阶段攻击者通过连接Webshell,进行Bash反弹和上传扫描攻击kscan,此阶段使用的源IP为xxx.xxx.xxx2;第三阶段攻击者通过上传的扫描攻击kscan,尝试扫描内网存活地址,反弹Bash,尝试进行Mysql连接等恶意行为。
