記一次應急排查"新"路歷程

0x01 事情概述

前一段時間接到了銷售給過來的消息說某單位服務器出現問題了，但是出問題的是某云服務器，出現外聯德國的行為，告警行為遠控，可能沒有日志，還比較急，讓先支持處置，有可能的話幫忙溯源好抓人，給了個處置對的第三方師傅。

0x02 分析

畢竟給的信息是外聯遠控，如果是外聯的情況下一般就要考慮是否是灰黑產，這種情況下出現在個人終端的可能下要大于服務器，所以這個時候基本上就是殺毒，沙箱運行看是否會出現外聯行為，如果是遠控類木馬的情況下，一般服務器被上傳的可能性比較高，釣魚類的可能是個人終端，這是基于服務關系來分析的。

0x03 遠程處置

第三方老師傅給了個vpn讓先給遠程看一下，正常情況下肯定是先要考慮備份鏡像，在鏡像中做操作，如果需要備份鏡像的話這里我推薦使用``FTK``，備份之后再轉格使用vm打開就ok了，比較容易上手操作。在物理機上直接操作會破壞證據，但是根據給的外聯地址去進行信息搜集肯定是攻擊者掛的代理地址，沒有實際意義，沒有高交互的蜜罐的條件下想要實現反制和溯源的基本上是沒有可能的。

0x04 排查

火絨殺毒

windows日志查詢

eventvwr

發現日志并未被清除，如果說是實現了遠控，起碼就操作者行為來講，還是講武德的。

windows日志分為五類

• 應用程序日志
• 安全日志
• Setup日志 #安裝日志
• 系統日志
• Forwarded Events日志 #轉發日志

這里主要看應用程序日志和安全日志即可，應用程序日志即安裝應用程序產生的事件，安全日志主要記錄用戶操作產生的日志，例如登入/登出，清除日志等。

事實上并沒有異常的登錄事件，從出現問題到服務器關掉的登錄事件以及操作日志來說也沒有問題

查看定時任務

翻了一遍定時任務并未有新創建的定時任務

熟悉winserver2012的都清楚裝機初始的自動任務都存在，另外無其他特殊的計劃任務。

net user

無新增用戶

就單純從業務來講，不牽涉到內網部分，所以也根本不擔心內網橫向的風險。斷網條件下是無法通過查看連接狀態判斷是什么程序觸發的，分析業務盤的文件

這個時候服務沒有起，可以發現使用的中間件，jar包是2017年的，但是有沒有打補丁不清楚，因為我沒找到的patch文件以及其它像是weblogic的補丁jar包，這里可能會有人有疑問，沒看見包就沒打補丁么，不接受杠精提問，只是分析而已，這個時候跟開發和運維對接可以確定中間件服務對公網有映射，查看文件目錄，因為查殺結果并沒有出來，在文件目錄下發現存在惡意文件

冰蝎馬不是嗎？

但是問題來了文件的屬性日期不會欺騙人，出現問題的時間是今年，但是這個文件屬性是去年的，這就有點兒意思了，除非還有一種可能，有其它木馬或者說是之前被利用未告警的。查看殺毒結果

找到文件分析，該木馬家族：CoinMiner的行為特征

根據情報庫去找

歸屬地是德國的，其實這種情況下已經可以交差了。但是令我比較在意的是中間件的RCE，因為涉及到數據問題，第三方的師傅要求到單位使用鏡像內網復現。

確實找到了上傳點,確定上傳路徑

xxx/xxx/x/x/x/x/x/x/mages/shell2.jsp

http://10.xxxxxxxxxxxxxxxxxx/images/shell2.jsp

連接木馬可成功

這時候有從云廠商那里要來的日志，量很少，但是沒有關于weblogic利用的日志

這是比較有意思的，到這里其實只有一種情況，服務器是去年被入侵的，但是收到的通知是異常外聯遠控，可能只是基于情報庫而不是從很長一段時間的監測為根據，只能說是意外發現了。