記一次后門連接應急響應
概述
2021年3月9日晴,嘴里叼著一塊五的豆沙包在8點59分59秒踩著點最后一秒的時間右腳先踏進了辦公室的大門,熟練的放下背包摁下了電源開機鍵,開始駐場摸魚師的一天。
一氣呵成打開態勢感知系統瞬間某某學院的8條webshell后門連接行為高危告警紅燦燦的映入眼簾,隨后經過訪問告警的URL鏈接進行驗證,證實后門文件存在網站已被攻擊者成功植入后門,屁股都沒坐熱就趕赴現場做相應的應急響應,并將拷回的相關日志文件與相關截圖進行分析得到以下結論。
現場情況
通過與相關負責人溝通得知,該系統為學院的OA系統綁定的域名為xxxxxx.com內網服務器地址為10.0.1.8,OA系統使用的是通達OA精靈office Anywhere 2017版本10.20.200417中間件使用的是Nginx,在到達現場前已經在服務器上安裝了數字殺毒軟件并已將部分后門文件進行查殺處理這就有點小蛋疼了。
日志分析
雖然后門文件已經被管理員刪除了,但不慌我們通過查看態勢感知上一開始的威脅告警,告警為后門連接工具中國菜刀列目錄的行為操作,從告警信息上我們得到在根目錄處名為_gnLbAed.php文件修改時間為2021年3月9日19:42:02,初步判斷該文件應該為webshell后門文件但在到達現場前此文件已被處理,以后還是在出發前先與客戶溝通保留好現場證據方便后續溯源。
已經得到了被刪除的后門文件名,下面就通過對3月1號到3月10號的Nginx日志進行_gnLbAed.php文件進行檢索,在2021年3月9日19:42:02分最開始有條GET訪問流量,web的最初訪問流量與告警中文件的修改日期吻合,可以初步判定該文件為最初的webshell文件。
確定了后門文件名與其創建的時間,下面就是分析該后門文件是如何被上傳的了,在9號的日志中查看_gnLbAed.php后門文件是如何產生的,可以看到在9日19:42:02分GET操作前一條有一條POST數據提交的操作,后門文件是由/general/data_center/utils/upload.php所上傳產生的,通過上傳的路徑由此可見攻擊者是利用了通達OA的任意文件上傳漏洞上傳的后門文件。
這里就有小伙伴問了,你怎么就知道它就是通過通達OA的任意文件上傳漏洞上傳的后門文件呢?這個簡單,把/general/data_center/utils/upload.php丟到百度搜索引擎就一目了然了。
雖然網絡安全的負責人已經將后門文件殺了一輪了,但為了確保服務器上還有其他被上傳的后門,這里使用D盾后門查殺工具對OA的整個web目錄進行查殺,發現在/upload_temp/2005/目錄下文件名為logins.php的后門,其文件的修改時間為2021年3月9號20:06:45。
根據查殺出的logins.php另一個后門文件對1號到10號的日志文件進行檢索,可以看到該后門文件最初訪問的是11*.***.***.*這個IP后面訪問的是掛了代理的境外IP,且最初上傳到的是網站的根目錄后被移動到了/upload_temp/2005/下,并在10號開始18*.***.**.**的IP有對后門的連接操作。
logins.php這個后門文件極有可能是攻擊者另一個的隱藏后門,先是上傳到了根目錄后轉移到了其他目錄做以隱蔽,在與網絡安全管理員溝通得知在網絡邊界還部署了一臺waf防火墻,為了更直觀更便捷將waf防火墻的日志導出,進行過濾賽選在數據包選項過濾logins.php這個值,可以看到是由中國菜刀通過_DvGJJgj.php后門文件上傳的,而_DvGJJgj.php也是利用通達OA漏洞在9號20:05:00分上傳的。
攻擊復現
根據第一個后門文件_gnLbAed.php日志情況得知攻擊者是根據通達OA的任意上傳文件漏洞/general/data_center/utils/upload.php上傳的后門文件,對日志檢索利用的路徑名稱可看到IP11*.***.***.*在9號19:42:02時生成了_gnLbAed.php后門,20:05:00時生成了_DvGJJgj.php后門文件(均已被清理)。
下載相應存在漏洞的通達OA版本,經過本地搭建使用漏洞利用工具,先是獲取到了任意用戶登錄漏洞的cookie在利用獲取到的cookie上傳了名為_gLpu09n.php的后門文件可以看出所生成的后門文件名與以上日志的后門名稱基本相同不過每次生成的都是”_”后隨機的字母組成。
再分析本地日志文件_gLpu09n.php后門如何產生的,可以看到也是一樣利用了/general/data_center/utils/upload.php的任意文件上傳漏洞生成的后門,到這里就可以敲定攻擊者是通過利用腳本利用了漏洞生成了后門文件。
總結
經過以上的分析,攻擊者是通過漏洞腳本利用了通達OA的任意上傳文件漏洞在19:42:02分時首次上傳了_gnLbAed.php后門文件,在20:05:00分時同樣的操作上傳了_DvGJJgj.php后門文件,在通過菜刀管理工具使用_DvGJJgj.php后門文件上傳了logins.php的另一個后門隨之將該后門移動到/upload_temp/2005/下作以隱藏。
到此將服務器上其他的后門文件清理干凈,并讓客戶將通達OA的漏洞補丁修復上,此次的應急響應到此結束。
