Windos應急響應與Linux應急響應總結與實戰案例

案例

查看態勢感知，發現受害主機被上傳到Jsp木馬，此IP經過威脅情報，被判斷為惡意IP。

結論：確認受害主機存在文件上傳漏洞被攻擊者成功探測到。

于 13:16:16和13:21:14檢測到攻擊者ip：xxx.xxx.xxx.xxx1與xxx.xxx.xxx.xxx2利用冰蝎成功連接上jsp木馬。

結論：確認xxx.xxx.xxx.xxx1與xxx.xxx.xxx.xxx2已經成功用冰蝎連接jsp木馬成功。

于13:17:03，受害主機開始回連攻擊者ip:xxx.xxx.xxx.xxx1，進行frp進行內網穿透。

小結結論：針對目標受害主機，攻擊者xxx.xxx.xxx.xxx(北京)13:11:18開始上傳惡意文件jsp木馬，于13:16:16和13:21:14 xxx.xxx.xxx.xxx1與xxx.xxx.xxx.xxx2利用冰蝎連接jsp木馬成功，并在13:17:03上傳frp進行內網穿透，回連ip地址：xxx.xxx.xxx.xxx3。

問題主機深度分析：

對受害主機進行了以下上機排查。

網絡連接及進程排查

網絡連接排查【netstat -ano】：發現可疑網絡連接，受害主機回連xxx.xxx.xxx3。

找到PID后，利用命令【tasklist | findstr pid】，得到可疑軟件的名稱

使用ProcessExplorer發現temp.exe程序無描述、無簽名為可疑exe程序，打開文件所在目錄。

用沙箱對軟件進行分析，得出為惡意軟件

用戶排查

用戶排查：發現可以用戶test111，并被添加到管理員組中，創建時間為13:20。

win+R打開compmgmt.msc 計算機管理，發現沒有隱藏用戶

啟動項排查：【Win+R，輸入control->管理工具->系統配置】，未發現可疑的啟動程序

查看注冊表，也未發現可疑啟動程序

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

計劃任務排查，win+R打開compmgmt.msc 計算機管理，未發現可疑

文件痕跡排查

在C:\xxx\xxx\upload\xxxx\xx\xx\xxxx文件夾下發現jsp木馬文件jjj.jsp。

文件痕跡排查：發現可疑文件d.exe，經沙箱檢測為惡意軟件，會進行收集系統信息，讀取計算機名稱，收集操作系統硬件相關的指紋信息。

web日志分析

web日志分析：對今日攻擊者進行分析，搜索帶有access的日志文件

攻擊者xxx.xxx.xxx1從13:09:46開始訪問網站，在13:11:26開始訪問上傳的jsp木馬文件。

攻擊者xxx.xxx.xxx1從13:20:42開始訪問jsp木馬

攻擊者于13:20:14 添加了后門用戶test111，并將其添加到管理員組中。

小結：通過對問題主機的排查，發現可疑網絡連接，受害主機回連xxx.xxx.xxx3，對進程進行定位，發現可疑程序temp.exe，經沙箱檢測，為frp回連惡意軟件；在進行用戶排查時，發現被創建后門用戶test111，并被添加到管理員組；在c:\windows\temp目錄下發現可疑程序d.exe，經沙箱檢測為收集系統信息惡意程序；在C:\waterp\xx\upload\xxxx\xx\xx\xxx發現上傳的jsp木馬。排查開機自啟項，計劃任務等無可疑行為。

Linux應急響應

案例

通過態勢感知發現base反彈和bash命令執行

上機排查

失陷原因定位

查看Apache Tomact Web日志，于15:07發現可疑文件test.jsp文件，疑似攻擊者上傳的Webshell后門文件，根據日志分析疑似存在struts2漏洞【查看日志路徑存在struts2】。

查看test.jsp文件內容，可確認該文件為Webshell后門文件

經過測試發現該網站存在struts2漏洞。

上機排查

查看歷史命令history，發現攻擊者的Bash反彈命令，并且發現攻擊者還上傳掃描工具Kscan文件到tmp目錄下，嘗試掃描172.xx.xx.xx/24網段，且連接Mysql數據庫。

查看/tmp目錄下，發現存在kscan掃描工具。

看/etc/passwd文件，無可疑用戶名【awk -F : '$3==0{print}' /etc/passwd】

查看定時計劃任務，無可疑計劃任務

查看網絡連接情況，因主機進行隔離，攻擊者的Bash反彈斷開，無其它可疑網絡連接。

查看進程情況，無可疑進程。【ps -ef | more】

查看開機自啟項，無可疑情況

此外，檢查系統日志【/var/log】，服務等無異常行為。

小結：整體攻擊分為3個階段，第一階段攻擊者通過Web應用暴露在互聯網上登錄點，進行Struct2攻擊，上傳Webshell后門文件，連接Webshell，此階段使用的源IP為xxx.xxx.xxx1；第二階段攻擊者通過連接Webshell，進行Bash反彈和上傳掃描攻擊kscan，此階段使用的源IP為xxx.xxx.xxx2；第三階段攻擊者通過上傳的掃描攻擊kscan，嘗試掃描內網存活地址，反彈Bash，嘗試進行Mysql連接等惡意行為。