- 1、本文档共11页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
专注APT攻击与防御
https///
事件过程:某厂商日志分析发现IP,但是日志记录的其中行为直接大量登陆内网,并无攻击
过程,以及攻击手法,导致内网安全加固不知从何下手,并且不知道有什么后门需要清除,
而且日志里攻击者IP为外国IP,不确定真实IP,还是代理IP。无法定位真正攻击者的地理位
置。
思路:反入侵得到攻击者机器权限,入侵现场还原,摸清入侵思路。并且须知入侵者的
相关后门遗留,以便处理后门。抓取入侵者的真实IP获得地理位置。并按照攻击者的攻击路
线加固相关漏洞安全。
一:日志分析
1.某厂商日志:该IP 为韩国,login 状态全部为success
221-ip成功,进入内网多个IP。但无其他记录,如过程,手法。无法安全加固客户内
网。无法分析出哪里出现问题,只能找出起始被入侵成功的IP,需要得到攻击者的电脑权
限,还原攻击过程,才可得知被攻击者的弱点并加固。
在tns日志中,oracle相关存储得到入侵者相关的存储利用。如downfile‐smss.exe,地址为
6
此时,我们得到2个攻击者IP,1个样本
IP分别为韩国,河南,样本1为:smss.exe
二:现场还原
1刺探攻击者的服务器相关信息:
起初连接到入侵者IP的服务器,IP归属地为韩国,并且服务器也为韩文,非中国渠道购
买,起初以为攻击者为国外人员。
但当刺探攻击者服务器21端口时发现并非真正的 “国外黑客”
于是,暂时定为攻击者为国内,需要摸查的IP锁定为中国范围内IP
整体思路 临时改为 :需要得到该服务器的权限,查看所有登陆成功日志,找出IP以及
对应时间。
入侵思路 临时改为 :该服务器为懂攻防人员所拥有,尽可能在该服务器不添加任何账
号或留有明显痕迹。
由于韩国服务器此段有DHCP记录查看应用,该应用存在loadfile漏洞,并且得知目标服务
器存在shi絀后门,
攻击思路为:16进制读取shi絀后门,并unhex本地还原exe,得到样本2,本地分析该样
本,从而不留痕迹得得到攻击者服务器。
至此:目前我们得到2个攻击者IP,2个样本,IP分别为韩国,河南,样本分别为smss.exe
与sethc.exe
三:本地样本分析
样本1:生成替换dll。并且自启动,反链接到某IP的8080端口,并且自删除。为远控特
征。
远控样本md5值:
样本2:shi絀后门,VB编译,并且未加壳。思路为,反汇编得到样本密码以及软件工作
流程。
Shift后门样本MD5:
特征为密码输入错误,呼出msgbox
得到该程序相关工作流程,当输入密码正确时,调出taskmgr.exe (任务管理器)以及
cmd.exe
四:测试并取证
1输入得到的密码。
当密码正确时呼出相关进程,并且得到system权限。
2取证以及样本截留:
攻击者真实IP以及对应时间:
得到真实入侵者的IP归属地为:四川省眉山市 电信
并且桌面截图:
再该服务器上留有大量以地名名为的txt文本 (如beijing.txt)。文本内容为IP,部分内容
为账号,密码,ip。其中dongbei.txt (被攻击者归属地为东北)找到某政府对应IP。
至此通过该服务器的桌面相关软件以及相关攻击者本文记录,得知攻击者的入侵思路,
以及部分后门留存位置特征等。以此回头来加固某政府内网安全以及切入点。
Micropoor
您可能关注的文档
- 模拟诉求任务攻击(第八课)高持续渗透--Microporor.pdf
- 配置vps上的msf(第三十二课)高持续渗透--Microporor.pdf
- 渗透的本质是信息搜集(第五十二课))高持续渗透--Microporor.pdf
- 内网渗透中的文件传输(第五十三课)高持续渗透--Microporor.pdf
- 与Smbmap结合攻击(第五十五课)高持续渗透--Microporor.pdf
- js一句话下载payload(第四十三课)高持续渗透--Microporor.pdf
- Linux提权-依赖exp篇 (第二课)高持续渗透--Microporor.pdf
- msfvenom常用生成payload命令(第十课)高持续渗透--Microporor.pdf
- payload分离免杀思路(第四十七课)高持续渗透--Microporor.pdf
- sql server 常用操作远程桌面语句(第七课)高持续渗透--Microporor.pdf
文档评论(0)