第六课:反攻的一次溯源--项目实战3

事件过程

某厂商通过日志分析发现可疑 IP,但是日志记录里显示该 IP 的行为是频繁地登陆内网,并无发现有攻击的迹象,因此无法下手进行内网安全的加固和清除后门。而且显示的是外国 IP,无法确定是真实 IP 还是代理 IP,因此无法定位攻击者的地理位置。 思路: 反入侵得到攻击者机器权限 -> 入侵现场还原,摸清入侵思路 -> 并且须知入侵者的相关后门遗留,以便处理后门 -> 抓取入侵者的真实IP获得地理位置 -> 并按照攻击者的攻击路线加固相关漏洞安全。

一、日志分析

  1. 某厂商日志:该IP 为韩国,login 状态全部为success

    221-ip 成功,进入内网多个IP。但无其他记录,如过程,手法。无法安全加固客户内网。无法分析出哪里出现问题,只能找出起始被入侵成功的IP,需要得到攻击者的电脑权限,还原攻击过程,才可得知被攻击者的弱点并加固。

在tns日志中,oracle相关存储得到入侵者相关的存储利用。如 downfile‐smss.exe,地址为 115.231.60.76。

  • 此时,我们得到2个攻击者IP,1个样本

  • IP分别为韩国,河南,样本1为:smss.exe

二、现场还原

  1. 刺探攻击者的服务器相关信息:

    起初连接到入侵者IP的服务器,IP归属地为韩国,并且服务器也为韩文,非中国渠道购买,起初以为攻击者为国外人员。

由于韩国服务器此段有DHCP记录查看应用,该应用存在loadfile漏洞,并且得知目标服务器存在 shift 后门。

攻击思路为:16进制读取 shift 后门,并unhex本地还原exe,得到样本2,本地分析该样本,从而不留痕迹得得到攻击者服务器。

至此:目前我们得到2个攻击者IP,2个样本,IP分别为韩国,河南,样本分别为smss.exe与sethc.exe。

三、本地样本分析

样本1:生成替换dll。并且自启动,反链接到某IP的8080端口,并且自删除。为远控特征。

特征为密码输入错误,呼出msgbox

得到该程序相关工作流程,当输入密码正确时,调出taskmgr.exe(任务管理器)以及 cmd.exe

四、测试并取证

  1. 取证以及样本截留:

再该服务器上留有大量以地名名为的 txt 文本(如 beijing.txt)。文本内容为 IP,部分内容为账号,密码,ip。其中dongbei.txt(被攻击者归属地为东北)找到某政府对应IP。

至此通过该服务器的桌面相关软件以及相关攻击者本文记录,得知攻击者的入侵思路,以及部分后门留存位置特征等。以此回头来加固某政府内网安全以及切入点。

--By Micropoor

Last updated