# 第六课：反攻的一次溯源--项目实战3

## 事件过程

某厂商通过日志分析发现可疑 IP，但是日志记录里显示该 IP 的行为是频繁地登陆内网，并无发现有攻击的迹象，因此无法下手进行内网安全的加固和清除后门。而且显示的是外国 IP，无法确定是真实 IP 还是代理 IP，因此无法定位攻击者的地理位置。\
**思路：**\
反入侵得到攻击者机器权限 -> 入侵现场还原，摸清入侵思路 -> 并且须知入侵者的相关后门遗留，以便处理后门 -> 抓取入侵者的真实IP获得地理位置 -> 并按照攻击者的攻击路线加固相关漏洞安全。

### 一、日志分析

1. 某厂商日志：该IP 为韩国，login 状态全部为success &#x20;

   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5pKH4N9FVuBBYV4%2F94c1beb0a701ac44fb49e0a422ffd944.jpg?generation=1551060450373879\&alt=media) &#x20;

   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5pQG_WJIYCwPjdK%2F2721e594c24138dafca79457f1429020.jpg?generation=1551060455117101\&alt=media) &#x20;

   221-ip 成功，进入内网多个IP。但无其他记录，如过程，手法。无法安全加固客户内网。无法分析出哪里出现问题，只能找出起始被入侵成功的IP，需要得到攻击者的电脑权限，还原攻击过程，才可得知被攻击者的弱点并加固。 &#x20;

   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5pXXvf3vE0A7fG_%2F3827dc9bd212de72570f8783f0d48057.jpg?generation=1551060441143924\&alt=media) &#x20;

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5pa8XtAht_8pazh%2F22dfadf43c1c8d5e87b529792ccf2e8f.jpg?generation=1551060429825688\&alt=media)

在tns日志中，oracle相关存储得到入侵者相关的存储利用。如 downfile‐smss.exe,地址为 115.231.60.76。

* 此时，我们得到2个攻击者IP，1个样本
* IP分别为韩国，河南，样本1为：smss.exe

### 二、现场还原

1. 刺探攻击者的服务器相关信息： &#x20;

   起初连接到入侵者IP的服务器，IP归属地为韩国，并且服务器也为韩文，非中国渠道购买，起初以为攻击者为国外人员。 &#x20;

   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5phT1TFx98iPyXB%2F2b774af3d64d77145ca10d8ba2a93d7f.jpg?generation=1551060452858976\&alt=media) &#x20;

   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5po0xuACkvtmibJ%2F0b66228d57ad2d5d51b3edc6527646a6.jpg?generation=1551060443892270\&alt=media) &#x20;

但当刺探攻击者服务器21端口时发现并非真正的“国外黑客”\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5ptmb3ju-ZjpuO2%2F8f7e7a3a538dde2dae4bbbb31b58a7b2.jpg?generation=1551060445568261\&alt=media)

于是，暂时定为攻击者为国内，需要摸查的IP锁定为中国范围内IP\
**整体思路临时改为：** 需要得到该服务器的权限，查看所有登陆成功日志，找出IP以及对应时间。\
**入侵思路临时改为：**&#x8BE5;服务器为懂攻防人员所拥有，尽可能在该服务器不添加任何账号或留有明显痕迹。\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5pzLLYlvjRxbrkM%2F6329737942f4c65b7c4e7e789f5e2d66.jpg?generation=1551060430700009\&alt=media)

由于韩国服务器此段有DHCP记录查看应用，该应用存在loadfile漏洞，并且得知目标服务器存在 shift 后门。

攻击思路为：16进制读取 shift 后门，并unhex本地还原exe，得到样本2，本地分析该样本，从而不留痕迹得得到攻击者服务器。

至此：目前我们得到2个攻击者IP，2个样本，IP分别为韩国，河南，样本分别为smss.exe与sethc.exe。

### 三、本地样本分析

样本1：生成替换dll。并且自启动，反链接到某IP的8080端口，并且自删除。为远控特征。

远控样本md5值：\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5q5b2_VGuzzGeIw%2Fd3b31f3a54fdb6216a622a4d64d051b9.jpg?generation=1551060427944050\&alt=media)\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qDhWb6fxdHFCWL%2F611ab4bd340cc2fc0c604297f42d8acf.jpg?generation=1551060428551690\&alt=media)

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qJaFgAmX3v3Qo4%2F3cdad13867b651eba844affe7e69d5ad.jpg?generation=1551060428143171\&alt=media)

样本2：shift 后门，VB编译，并且未加壳。思路为，反汇编得到样本密码以及软件工作流程。\
Shift后门样本MD5： ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qPPdwJkpc_r91Z%2F43800ab568907b004baeec442e405f15.jpg?generation=1551060450159363\&alt=media)

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qRCk9-cltq_dfd%2F60329351b198e03e5296e740116c7ffe.jpg?generation=1551060441378800\&alt=media)

特征为密码输入错误，呼出msgbox

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qW_8VwYpaNP1jM%2F3f24c1396076440235e7fbc6c95cf55e.jpg?generation=1551060446149658\&alt=media)

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qZaqOV_PscgKVZ%2F21d1c9b86a234e59dd354e95da901db5.jpg?generation=1551060427435194\&alt=media)

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qbPOjI0gq7Sv_F%2Fd20c0ea214162b960aa1dc6d36a08135.jpg?generation=1551060458852755\&alt=media)

得到该程序相关工作流程，当输入密码正确时，调出taskmgr.exe（任务管理器）以及 cmd.exe

### 四、测试并取证

1. 输入得到的密码。\
   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qgoVVF159i3al_%2F7b161478f4ea9bf11f0e8e08924d005f.jpg?generation=1551060426322465\&alt=media)\
   当密码正确时呼出相关进程，并且得到system权限。\
   ![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qlv7P3qAx2nfD-%2F3c2ab7b4ff5cb533f7d0c7c9ba3fa7b7.jpg?generation=1551060451678439\&alt=media)
2. 取证以及样本截留：

攻击者真实IP以及对应时间：\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qrGIb7m8mWIpj9%2F93bdae33a293d798b753ad6991c80955.jpg?generation=1551060444354816\&alt=media)\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5qwmVjvQ0xjkCAL%2Ff35b7aa043fe354d01542029ff5fa255.jpg?generation=1551060442094128\&alt=media)

得到真实入侵者的IP归属地为：四川省眉山市 电信\
并且桌面截图：\
![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5r0YGb0KZeM9Mtq%2Fb7ebd7bfc74e6d295b6bb67c258aff7b.jpg?generation=1551060440051831\&alt=media)

再该服务器上留有大量以地名名为的 txt 文本（如 beijing.txt）。文本内容为 IP，部分内容为账号，密码,ip。其中dongbei.txt（被攻击者归属地为东北）找到某政府对应IP。

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5r6SrF-RRFBDdAS%2F05c7892c0be8bb3c4f245075b13b4119.jpg?generation=1551060446178010\&alt=media)

![](https://1465213733-files.gitbook.io/~/files/v0/b/gitbook-legacy-files/o/assets%2F-LZJtlFN7NOR8zMCiJsm%2F-LZXOtmCj3pT3_pYH1dV%2F-LZJx5r9lBRVJN-qrg90%2F47af8c931ade9a7cbeeb61c4b41792f4.jpg?generation=1551060442143048\&alt=media)

至此通过该服务器的桌面相关软件以及相关攻击者本文记录，得知攻击者的入侵思路，以及部分后门留存位置特征等。以此回头来加固某政府内网安全以及切入点。

\--By Micropoor