2021年5月26日早,突然收到同事通知,云平台某服务器A出现异常。表像为:A对其他主机进行漏洞扫描攻击。
访谈相关人员:
服务器IP/域名地址:***.***.118.103
,****.*****.***.cn
;
服务器名称:培训考勤签到系统;
上线时间:2021年1月;
是否对互联网服务:是;
中间件:weblogic 12.1,前段时间排查过程发现存在漏洞,由于运维无法提供补丁,采取禁用 T3 及 IIOP 协议缓解部分漏洞,继续对外服务;
何时出现异常现场:2021年5月26日;
异常情况:对其他服务器进行扫描攻击;
其他信息:采用 HTTPS 方式加密传输;内部负载均衡地址:***.**.26.191
,端口:443
;外部负载均衡地址:***.**.26.10
,端口:443
;服务器上线过程中存在不规范,安全人员不知情,服务器未加入 WAF 等安全设备进行保护 。
对服务器A进行恶意文件查杀,发现服务器是裸奔,临时下载火绒合D盾对服务器进行恶意文件识别(不建议使用火绒),火绒识别4个恶意文件,D盾识别6个恶意文件,文件创建事件均为5月25日。
翻查NGSOC关于 ***.***.118.103
的WEB流量记录,只有零星几条,无法获取有效信息。
翻查 access 日志尝试获取有用信息的时候,发现日志中有weblogic 的 CVE-2020-14882 攻击记录,payload 作用为反弹shell,根据 payload 的上的反弹地址发现一个攻击者IP,尝试在NGSOC上搜索该源 IP 地址,发现记录,其中该记录目的地址为: ***.**.26.10
。访问管理员后发现互联网地址与 ***.***.118.103
通讯,需经过内外负载均衡,外部负载均衡地址为: ***.**.26.10
。
查询关于外部负载均衡地址( ***.**.26.10
)的 WEB 流量记录,依然只有零星几条记录,陷入死局。过了一段时间,原来是忽略了服务器采用 HTTPS 加密协议传输,且未将证书私钥导入 NDS 内,所以无法通过 FLOW_WEB
表查询 WEB 流量记录,只能通过 FLOW_SSL
表查询 SS L加密协商流量,然而 SSL 加密流量的内容完全看不到,只能查询该段时间哪些 IP 访问过。
通过 NGSOC 平台搜索语法筛选5月21-26日访问该应用系统的互联网地址,发现从25日凌晨开始有19个异常高频的访问记录,大多数为来自中国四川。
序号 | IP | IP的物理位置 |
---|---|---|
1 | 39.144.137.*** | 四川省 成都市 |
2 | 39.144.137.** | 四川省 成都市 |
3 | 139.207.149.*** | 四川省 |
4 | 81.69.33.*** | 上海市 |
5 | 39.144.137.*** | 四川省 成都市 |
6 | 171.210.45.*** | 四川省 |
7 | 116.169.1.*** | 四川省 成都市 |
8 | 125.34.74.** | 北京市 |
9 | 171.88.165.*** | 四川省 成都市 |
10 | 171.221.43.*** | 四川省 成都市 |
11 | 114.253.56.*** | 北京市 |
12 | 117.136.32.*** | 广州市 |
13 | 106.13.30.*** | 广州市 |
14 | 165.227.136.*** | 德国 黑森州 美因河畔法兰克福 |
15 | 222.212.129.*** | 四川省 成都市 |
16 | 45.146.164.*** | 俄罗斯 莫斯科州 莫斯科 |
17 | 45.147.197.*** | 荷兰 海尔德兰省 杜廷赫姆 |
18 | 115.171.244.** | 北京市 |
19 | 198.20.69.** | 美国 亚利桑那州 菲尼克斯 |
结合恶意文件创建时间及 NGSOC流 量记录信息,判断攻击者开展攻击时间为2021年5月25日凌晨0时至2021年5月26日上午10点30分(服务器断网时间点)。为更全面发现服务器A存在的恶意文件,将2021年5月25日-26日新增的文件全部备份并开展人工分析。通过人工分析,从161个文件中发现27个恶意文件(含D盾及火绒识别出来的恶意文件),恶意文件类型包括:webshell(冰蝎木马)、流量代理文件、MS17-010 扫描工具、Windows密码提取工具(mimikatz.exe、procdump64.exe)、CS木马、主机扫描工具等。
分析CS马过程中,发现反连域名及反连IP地址, 3ead0dfe.ns2.*****.site
、 3ead0dfe.ns2.*****.site
、 171.***.***.***
。通过whois、搜索引擎结合域名信息查到攻击者QQ号,照片等个人信息。
PS:自动化分析平台:
https://x.threatbook.cn/
https://www.virustotal.com/
https://app.any.run/
手动行为分析工具:火绒剑、promon
PcLog 查询系统操作,发现5月25日15点00分执行过CS木马“123321.exe” , 执行结果为失败,软件崩溃。此外,其他信息均为登陆记录。
RegRipper3.0 查询 Amcache,发现5月25日分别执行过 dns.exe、fscsn64.exe、123321.exe、amd.exe、mimikatz.exe。
RegistryExplorer 查询 UserAssist,未发现5月25日的信息。
access 日志记录信息不全(原因未知,HTTPS协议的关系?),流量记录分析平台的相关内容均是加密状态,无法查看。根据中间件情况(未安装的补丁的weblogic)及恶意文件的存放的路径,推断攻击者通过weblogic反序列化漏洞入侵。
作者:singsing;文章来源于:sing3r.top
如有侵权,请联系删除
学习更多技术,关注我: