专注 APT 攻击与防御 —反攻的一次溯源

2024-04-29 18:36

本文主要是介绍专注 APT 攻击与防御 —反攻的一次溯源,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

事件过程

某厂商通过日志分析发现可疑 IP,但是日志记录里显示该 IP 的行为是频繁地登陆内网,并无发现有攻击的迹象,因此无法下手进行内网安全的加固和清除后门。而且显示的是外国 IP,无法确定是真实 IP 还是代理 IP,因此无法定位攻击者的地理位置。
思路:
反入侵得到攻击者机器权限 -> 入侵现场还原,摸清入侵思路 -> 并且须知入侵者的相关后门遗留,以便处理后门 -> 抓取入侵者的真实IP获得地理位置 -> 并按照攻击者的攻击路线加固相关漏洞安全。

一、日志分析

  1. 某厂商日志:该IP 为韩国,login 状态全部为success
    第六课:反攻的一次溯源—项目实战3 - 图1
     
    第六课:反攻的一次溯源—项目实战3 - 图2

    221-ip 成功,进入内网多个IP。但无其他记录,如过程,手法。无法安全加固客户内网。无法分析出哪里出现问题,只能找出起始被入侵成功的IP,需要得到攻击者的电脑权限,还原攻击过程,才可得知被攻击者的弱点并加固。

    第六课:反攻的一次溯源—项目实战3 - 图3

第六课:反攻的一次溯源—项目实战3 - 图4

在tns日志中,oracle相关存储得到入侵者相关的存储利用。如 downfile‐smss.exe,地址为 115.231.60.76。

  • 此时,我们得到2个攻击者IP,1个样本
  • IP分别为韩国,河南,样本1为:smss.exe

二、现场还原

  1. 刺探攻击者的服务器相关信息:
    起初连接到入侵者IP的服务器,IP归属地为韩国,并且服务器也为韩文,非中国渠道购买,起初以为攻击者为国外人员。
    第六课:反攻的一次溯源—项目实战3 - 图5
     

    第六课:反攻的一次溯源—项目实战3 - 图6

但当刺探攻击者服务器21端口时发现并非真正的“国外黑客”

第六课:反攻的一次溯源—项目实战3 - 图7

于是,暂时定为攻击者为国内,需要摸查的IP锁定为中国范围内IP
整体思路临时改为: 需要得到该服务器的权限,查看所有登陆成功日志,找出IP以及对应时间。
入侵思路临时改为:该服务器为懂攻防人员所拥有,尽可能在该服务器不添加任何账号或留有明显痕迹。

第六课:反攻的一次溯源—项目实战3 - 图8

由于韩国服务器此段有DHCP记录查看应用,该应用存在loadfile漏洞,并且得知目标服务器存在 shift 后门。

攻击思路为:16进制读取 shift 后门,并unhex本地还原exe,得到样本2,本地分析该样本,从而不留痕迹得得到攻击者服务器。

至此:目前我们得到2个攻击者IP,2个样本,IP分别为韩国,河南,样本分别为smss.exe与sethc.exe。

三、本地样本分析

样本1:生成替换dll。并且自启动,反链接到某IP的8080端口,并且自删除。为远控特征。

远控样本md5值:
 

第六课:反攻的一次溯源—项目实战3 - 图9

第六课:反攻的一次溯源—项目实战3 - 图10

第六课:反攻的一次溯源—项目实战3 - 图11

样本2:shift 后门,VB编译,并且未加壳。思路为,反汇编得到样本密码以及软件工作流程。
Shift后门样本MD5:

第六课:反攻的一次溯源—项目实战3 - 图12

第六课:反攻的一次溯源—项目实战3 - 图13

特征为密码输入错误,呼出msgbox

第六课:反攻的一次溯源—项目实战3 - 图15

第六课:反攻的一次溯源—项目实战3 - 图16

得到该程序相关工作流程,当输入密码正确时,调出taskmgr.exe(任务管理器)以及 cmd.exe

四、测试并取证

  1. 输入得到的密码。
     

    第六课:反攻的一次溯源—项目实战3 - 图17


    当密码正确时呼出相关进程,并且得到system权限。

    第六课:反攻的一次溯源—项目实战3 - 图18

  2. 取证以及样本截留:

攻击者真实IP以及对应时间:
 

第六课:反攻的一次溯源—项目实战3 - 图19
第六课:反攻的一次溯源—项目实战3 - 图20

得到真实入侵者的IP归属地为:四川省眉山市 电信
并且桌面截图:

第六课:反攻的一次溯源—项目实战3 - 图21

再该服务器上留有大量以地名名为的 txt 文本(如 beijing.txt)。文本内容为 IP,部分内容为账号,密码,ip。其中dongbei.txt(被攻击者归属地为东北)找到某政府对应IP。

第六课:反攻的一次溯源—项目实战3 - 图22

第六课:反攻的一次溯源—项目实战3 - 图23

至此通过该服务器的桌面相关软件以及相关攻击者本文记录,得知攻击者的入侵思路,以及部分后门留存位置特征等。以此回头来加固某政府内网安全以及切入点。

文章来源:《专注 APT 攻击与防御 - Micro8 系列教程》 - 书栈网 · BookStack

这篇关于专注 APT 攻击与防御 —反攻的一次溯源的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/946844

相关文章

速盾高防cdn是怎么解决网站攻击的?

速盾高防CDN是一种基于云计算技术的网络安全解决方案,可以有效地保护网站免受各种网络攻击的威胁。它通过在全球多个节点部署服务器,将网站内容缓存到这些服务器上,并通过智能路由技术将用户的请求引导到最近的服务器上,以提供更快的访问速度和更好的网络性能。 速盾高防CDN主要采用以下几种方式来解决网站攻击: 分布式拒绝服务攻击(DDoS)防护:DDoS攻击是一种常见的网络攻击手段,攻击者通过向目标网

(function() {})();只执行一次

测试例子: var xx = (function() {     (function() { alert(9) })(); alert(10)     return "yyyy";  })(); 调用: alert(xx); 在调用的时候,你会发现只弹出"yyyy"信息,并不见弹出"10"的信息!这也就是说,这个匿名函数只在立即调用的时候执行一次,这时它已经赋予了给xx变量,也就是只是

flume系列之:记录一次flume agent进程被异常oom kill -9的原因定位

flume系列之:记录一次flume agent进程被异常oom kill -9的原因定位 一、背景二、定位问题三、解决方法 一、背景 flume系列之:定位flume没有关闭某个时间点生成的tmp文件的原因,并制定解决方案在博主上面这篇文章的基础上,在机器内存、cpu资源、flume agent资源都足够的情况下,flume agent又出现了tmp文件无法关闭的情况 二、

jmeter之仅一次控制器

仅一次控制器作用: 不管线程组设置多少次循环,它下面的组件都只会执行一次 Tips:很多情况下需要登录才能访问其他接口,比如:商品列表、添加商品到购物车、购物车列表等,在多场景下,登录只需要1次,我们期望的是重复执行登陆后面的接口来做压测,这就和事务相关,例如 事务1: 登录—>添加购物车 事务2: 登录—>购物车列表 事务3: 登录—>商品列表—>添加购物车 … 一、仅一次控制器案例 在

一次生产环境大量CLOSE_WAIT导致服务无法访问的定位过程

1.症状 生产环境的一个服务突然无法访问,服务的交互过程如下所示: 所有的请求都是通过网关进入,之后分发到后端服务。 现在的情况是用户服务无法访问商旅服务,网关有大量java.net.SocketTimeoutException: Read timed out报错日志,商旅服务也不断有日志打印,大多是回调和定时任务日志,所以故障点在网关和商旅服务,大概率是商旅服务无法访问导致网关超时。 后

关于一次速度优化的往事

来自:hfghfghfg, 时间:2003-11-13 16:32, ID:2292221你最初的代码 Button1 34540毫秒 5638毫秒  Button2 我的代码 这个不是重点,重点是这个  来自:hfghfghfg, 时间:2003-11-13 16:54, ID:22923085528毫秒 不会吧,我是赛杨1.1G  128M内存  w2000, delphi6  128M

ubuntu通过apt的方式更新cmake到最新版(ppa)

添加签名密钥 wget -O - https://apt.kitware.com/keys/kitware-archive-latest.asc 2>/dev/null | sudo apt-key add - 将存储库添加到您的源列表并进行更新 稳定版 sudo apt-add-repository 'deb https://apt.kitware.com/ubuntu/ bionic ma

单例模式以及反射对单例模式的破坏及防御

单例模式(Singleton Pattern)是一种确保类在应用程序生命周期内只存在一个实例的设计模式。它不仅提供了全局访问点,还能节省内存、控制实例的生命周期。但常见的单例模式实现方式如饿汉式、懒汉式、双重校验锁、静态内部类等,虽然设计良好,但都容易被 Java 的反射机制所破坏。本文将介绍这些单例实现方式的优缺点、反射如何破坏它们的唯一性,以及如何防御这种破坏。 1. 单例模式的常见实现

Web安全之XSS跨站脚本攻击:如何预防及解决

1. 什么是XSS注入 XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。 2. XSS攻击类型 2.1 存储型XSS 存储型XS

【前端安全】浅谈XSS攻击和防范

定义 XSS是跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。 分类 大分类小分类原理非存储DOM型① 不需要经过服务器