应急响应处置案例(上)

本文目录

目录

本文目录

Web安全事件

概述

案例1 - webshell

背景

排查情况

天眼

服务器

案例2 - Struts2

排查情况

天眼

服务器

案例3 - Redis未授权

背景

排查情况

天眼

服务器

案例4 - EW内网穿透

背景

排查情况

天眼

服务器

案例5 - 一句话木马

背景

排查情况

天眼

服务器

案例6 - CobaltStrike木马

背景

排查情况

天眼

服务器

案例7 - 用友NC上传漏洞

背景

排查情况

天眼

服务器

天眼

Web安全事件

概述

出现网站页面被替换或大量植入博彩页面、色情连接、反动标语、网页跳转、植入WebShell/后门等现象

案例1 - webshell

背景

客户描述，服务器被攻击，严重影响业务，需要应急

排查情况

天眼

• 发现大量冰蝎、蚁剑成功连接告警

服务器

• 进程排查：排查服务器进程，发现恶意进程

• 用户信息排查：排查登陆信息，发现有root账户重复登陆的情况，IP经确认非正常会用来登陆的IP

• 网络排查：发现一个访问的可疑IP，客户说这个IP不通，但经过自己测试是可以ping通的（客户有时不可信，用事实说话）

• 文件痕迹排查：全盘搜索木马，发现上传的木马

• 文件痕迹排查：发现攻击者的上传的masscan、frp

案例2 - Struts2

通过天眼告警，发现服务器被攻击者利用struts2漏洞攻击成功

排查情况

天眼

服务器

• 文件痕迹排查：在home目录下发现了利用工具

• 日志分析：history检查命令执行记录，发现利用了shiro-tool.jar

• 日志分析：查看shiro日志，发现有攻击成功的标识

• 文件痕迹排查：检查tmp目录，发现有frp配置文件，获取到攻击者的IP

下一步再回到天眼，检索有没有与这个IP交互的记录，有的话就说明攻击成功了

案例3 - Redis未授权

背景

天眼告警存在redis未授权访问漏洞

排查情况

天眼

• 发现似乎对于/root/.ssh/进行了操作

• 检索攻击IP为此台受害主机IP的告警记录，发现没有告警，可以判断受害主机没有被当成跳板机

服务器

• 文件痕迹排查：检查/root/.ssh/目录，发现攻击者秘钥信息

• 用户信息排查：根据攻击IP检查登陆情况，确定攻击者的登陆时间和使用的账户，发现先用root登陆再用test登陆，可能新建了账号

• 用户信息排查：检查/etc/passwd文件，发现test账号有root权限，基本可以判定是攻击者创建的

• 日志分析：history查看命令记录，发现创建了test账户

案例4 - EW内网穿透

背景

天眼告警发现黑客工具 - EarthWorm内网穿透工具

排查情况

天眼

服务器

• 文件痕迹排查：检查tmp目录，发现有可疑文件update.ini，打开后发现里面是ssh密钥，跟root目录下的ssh密钥一样，可以判定为攻击者的密钥

• 进程排查：有一个代理转发了7009端口

• 文件痕迹排查：全盘搜索木马，发现上传的木马

• 文件痕迹排查：根据时间点确定攻击顺序

案例5 - 一句话木马

背景

天眼告警发现上传一句话木马

排查情况

天眼

一般出现这种告警都带有木马的路径，直接服务找就行

服务器

• 文件痕迹排查：根据路径找到木马

• 进程排查：发现还有一个ew进程，根据进程找到文件位置进行删除

案例6 - CobaltStrike木马

背景

天眼告警发现存在木马远控工具CobaltStrike RAT系列通信

排查情况

天眼

根据前后的告警可以大概判断攻击的顺序：弱口令 --> 命令注入 --> 上传木马 --> 攻击利用

服务器

• 用户信息排查：发现一个隐藏账号a$

• 文件痕迹排查：现场刚好有天擎，直接扫描发现木马

• 进程排查：从任务管理器查看a$起的进程，关闭并删除对应恶意文件

案例7 - 用友NC上传漏洞

背景

天眼告警发现利用冰蝎webshell工具连接后门

排查情况

天眼

服务器

• 文件痕迹排查：D盾扫描发现后门文件

• 进程排查：未发现异常外联进程
• 计划任务排查：未发现异常
• 用户信息排查：未发现异常

不确定是怎么将后门传上来的，应急响应中找到攻击的路径很重要

天眼

再排查天眼前面的告警，发现另一条利用用友NC上传漏洞的告警

至此确定攻击的路径