# 第六课：反攻的一次溯源--项目实战3

## 事件过程

某厂商通过日志分析发现可疑 IP，但是日志记录里显示该 IP 的行为是频繁地登陆内网，并无发现有攻击的迹象，因此无法下手进行内网安全的加固和清除后门。而且显示的是外国 IP，无法确定是真实 IP 还是代理 IP，因此无法定位攻击者的地理位置。\
**思路：**\
反入侵得到攻击者机器权限 -> 入侵现场还原，摸清入侵思路 -> 并且须知入侵者的相关后门遗留，以便处理后门 -> 抓取入侵者的真实IP获得地理位置 -> 并按照攻击者的攻击路线加固相关漏洞安全。

### 一、日志分析

1. 某厂商日志：该IP 为韩国，login 状态全部为success &#x20;

   ![](/files/-LZJx5pKH4N9FVuBBYV4) &#x20;

   ![](/files/-LZJx5pQG_WJIYCwPjdK) &#x20;

   221-ip 成功，进入内网多个IP。但无其他记录，如过程，手法。无法安全加固客户内网。无法分析出哪里出现问题，只能找出起始被入侵成功的IP，需要得到攻击者的电脑权限，还原攻击过程，才可得知被攻击者的弱点并加固。 &#x20;

   ![](/files/-LZJx5pXXvf3vE0A7fG_) &#x20;

![](/files/-LZJx5pa8XtAht_8pazh)

在tns日志中，oracle相关存储得到入侵者相关的存储利用。如 downfile‐smss.exe,地址为 115.231.60.76。

* 此时，我们得到2个攻击者IP，1个样本
* IP分别为韩国，河南，样本1为：smss.exe

### 二、现场还原

1. 刺探攻击者的服务器相关信息： &#x20;

   起初连接到入侵者IP的服务器，IP归属地为韩国，并且服务器也为韩文，非中国渠道购买，起初以为攻击者为国外人员。 &#x20;

   ![](/files/-LZJx5phT1TFx98iPyXB) &#x20;

   ![](/files/-LZJx5po0xuACkvtmibJ) &#x20;

但当刺探攻击者服务器21端口时发现并非真正的“国外黑客”\
![](/files/-LZJx5ptmb3ju-ZjpuO2)

于是，暂时定为攻击者为国内，需要摸查的IP锁定为中国范围内IP\
**整体思路临时改为：** 需要得到该服务器的权限，查看所有登陆成功日志，找出IP以及对应时间。\
**入侵思路临时改为：**&#x8BE5;服务器为懂攻防人员所拥有，尽可能在该服务器不添加任何账号或留有明显痕迹。\
![](/files/-LZJx5pzLLYlvjRxbrkM)

由于韩国服务器此段有DHCP记录查看应用，该应用存在loadfile漏洞，并且得知目标服务器存在 shift 后门。

攻击思路为：16进制读取 shift 后门，并unhex本地还原exe，得到样本2，本地分析该样本，从而不留痕迹得得到攻击者服务器。

至此：目前我们得到2个攻击者IP，2个样本，IP分别为韩国，河南，样本分别为smss.exe与sethc.exe。

### 三、本地样本分析

样本1：生成替换dll。并且自启动，反链接到某IP的8080端口，并且自删除。为远控特征。

远控样本md5值：\
![](/files/-LZJx5q5b2_VGuzzGeIw)\
![](/files/-LZJx5qDhWb6fxdHFCWL)

![](/files/-LZJx5qJaFgAmX3v3Qo4)

样本2：shift 后门，VB编译，并且未加壳。思路为，反汇编得到样本密码以及软件工作流程。\
Shift后门样本MD5： ![](/files/-LZJx5qPPdwJkpc_r91Z)

![](/files/-LZJx5qRCk9-cltq_dfd)

特征为密码输入错误，呼出msgbox

![](/files/-LZJx5qW_8VwYpaNP1jM)

![](/files/-LZJx5qZaqOV_PscgKVZ)

![](/files/-LZJx5qbPOjI0gq7Sv_F)

得到该程序相关工作流程，当输入密码正确时，调出taskmgr.exe（任务管理器）以及 cmd.exe

### 四、测试并取证

1. 输入得到的密码。\
   ![](/files/-LZJx5qgoVVF159i3al_)\
   当密码正确时呼出相关进程，并且得到system权限。\
   ![](/files/-LZJx5qlv7P3qAx2nfD-)
2. 取证以及样本截留：

攻击者真实IP以及对应时间：\
![](/files/-LZJx5qrGIb7m8mWIpj9)\
![](/files/-LZJx5qwmVjvQ0xjkCAL)

得到真实入侵者的IP归属地为：四川省眉山市 电信\
并且桌面截图：\
![](/files/-LZJx5r0YGb0KZeM9Mtq)

再该服务器上留有大量以地名名为的 txt 文本（如 beijing.txt）。文本内容为 IP，部分内容为账号，密码,ip。其中dongbei.txt（被攻击者归属地为东北）找到某政府对应IP。

![](/files/-LZJx5r6SrF-RRFBDdAS)

![](/files/-LZJx5r9lBRVJN-qrg90)

至此通过该服务器的桌面相关软件以及相关攻击者本文记录，得知攻击者的入侵思路，以及部分后门留存位置特征等。以此回头来加固某政府内网安全以及切入点。

\--By Micropoor


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://micro8.gitbook.io/micro8/contents-1/1-10/6-fan-gong-de-yi-ci-su-yuan-xiang-mu-shi-zhan-3.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.