记一次略坑的应急响应事件
2023-4-4 08:3:45 Author: 李白你好(查看原文) 阅读量:25 收藏

宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好设为星标”,否则可能就看不到了啦!

应急响应是信息安全工作中重要的一环,但有时也会因为客户对“黑客”攻击的“恐惧”心理,从而产生很多啼笑皆非的应急响应事件。

0x01 情况说明

本文作者Day1安全团队returnwrong,文章首发freebuf,经过作者同意转载到李白你好并打原创标识。

2020年某日,我方接到某单位网络安全负责人反馈,该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器,事出紧急,现场工作人员怀疑该服务器账号密码被黑客更改,需要我方技术团队进行现场支持。

0x02 现场排查

经过60分钟后到达客户现场,再次与网络安全负责人确认情况,得到信息与电话沟通内容一致。立刻进入机房进行现场分析,首先对该机器进行物理断网和密码重置,随后使用安全工具对系统进行入侵排查和病毒木马检测,以下为机房现场情况:

(我在这里露个脚(。・_・。)ノI’m sorry~)

对该机器进行物理断网后,进入BIOS,设置从U盘启动:

1、进入pe对系统密码进行更改处理,主机登录成功,并对系统存在账户进行排查未发现可疑账户:

2、对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查:

3、排查定时任务,并且跟现场工作人员核对,未发现其他非工作人员创建的定时任务

4、排查系统防火墙,日志审核策略及日志留存情况,并将日志做导出备份处理:

5、跟主机安全负责人、网络负责人及该主机使用方做相关询问得出以下信息:

设备IP:172.xx.xx.xx/24

设备网关:172.xx.xx.1

系统管理及使用方登录方式:连接vpn后使用windows远程桌面连接

系统使用方登录时间:2020年8月6日18:30—19:00

主机管理方登录时间:2020年8月7日8:30—9:00

计划任务:使用方自己的正常业务

系统使用方最后一次登录时间:3个月前

0x03 分析结果

基于该主机自身情况进行分析

(1)调查该主机自身感染病毒木马情况:人工分析未发现系统感染恶意病毒木马特征,无可疑账户、克隆账户、可疑计划任务,未发现入侵现象。

(2)系统日志分析情况:对近期系统登录成功与失败日志进行排查,如下图所示:

(3)使用logparse进行日志分析:

8月7日8:30-9:00间多次登录失败,并非攻击者更改密码所致,实际为登录用户名输入错误所致(正确用户名为administrator用户使用用户名为Lenovo,推测为用户远程登录时未修改登录默认用户名信息,导致用户名为个人pc用户名)。根据日志该系统最后一次远程桌面登录为2020年5月6日,与系统使用方描述一致。


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247497974&idx=1&sn=f7185e40ec12d68b1b196417f8f52a84&chksm=c09a8ba6f7ed02b0e74281c576a849a698a6a6982ade6c18c1ec7f128de8de40bcba3067475c#rd
如有侵权请联系:admin#unsafe.sh