记一次略坑的应急响应事件 – 作者:return0

应急响应是信息安全工作中重要的一环,但有时也会因为客户对“黑客”攻击的“恐惧”心理,从而产生很多啼笑皆非的应急响应事件。

情况简介

2020年某日,我方接到某单位网络安全负责人反馈,该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器,事出紧急,现场工作人员怀疑该服务器账号密码被黑客更改,需要我方技术团队进行现场支持。

现场排查

经过60分钟后到达客户现场,再次与网络安全负责人确认情况,得到信息与电话沟通内容一致。立刻进入机房进行现场分析,首先对该机器进行物理断网和密码重置,随后使用安全工具对系统进行入侵排查和病毒木马检测,以下为机房现场情况:1609725081_5ff27499a2172783caa8d.png!small?1609725088181

(我在这里露个脚(。・_・。)ノI’m sorry~)

1609725103_5ff274afd0883bbc43034.png!small?1609725109009

对该机器进行物理断网后,进入BIOS,设置从U盘启动:1609725134_5ff274ce0134dda42259a.png!small?1609725140227

进入pe对系统密码进行更改处理,主机登录成功,并对系统存在账户进行排查未发现可疑账户:

1609725167_5ff274efd3be49453ac88.png!small?1609725173926

3.对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查:

1609725218_5ff275225934777562ddf.png!small?1609725223547

1609725224_5ff27528f0b2f1d131722.png!small?16097252302713.排查定时任务,并且跟现场工作人员核对,未发现其他非工作人员创建的定时任务

1609725292_5ff2756c0a8bb278952de.png!small?16097252986914.排查系统防火墙,日志审核策略及日志留存情况,并将日志做导出备份处理:

1609725314_5ff2758254182c11a4f72.png!small?1609725320300

1609725325_5ff2758da4a1b31581ad0.png!small?1609725331231

5.跟主机安全负责人、网络负责人及该主机使用方做相关询问得出以下信息:

设备IP:172.xx.xx.xx/24

设备网关:172.xx.xx.1

系统管理及使用方登录方式:连接vpn后使用windows远程桌面连接

系统使用方登录时间:2020年8月6日18:30—19:00

主机管理方登录时间:2020年8月7日8:30—9:00

计划任务:使用方自己的正常业务

系统使用方最后一次登录时间:3个月前

分析结果

1.基于该主机自身情况进行分析

(1)调查该主机自身感染病毒木马情况:人工分析未发现系统感染恶意病毒木马特征,无可疑账户、克隆账户、可疑计划任务,未发现入侵现象。

(2)系统日志分析情况:对近期系统登录成功与失败日志进行排查,如下图所示:

1609725505_5ff2764126fd70b7711e0.png!small?1609725508933

(3)使用logparse进行日志分析:

1609725532_5ff2765cc7dc54b270894.png!small?1609725536452

分析结论

8月7日8:30-9:00间多次登录失败,并非攻击者更改密码所致,实际为登录用户名输入错误所致(正确用户名为administrator用户使用用户名为Lenovo,推测为用户远程登录时未修改登录默认用户名信息,导致用户名为个人pc用户名)。根据日志该系统最后一次远程桌面登录为2020年5月6日,与系统使用方描述一致。

来源:freebuf.com 2021-01-04 10:15:56 by: return0

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论