0x05 案例之 500 錯誤日志引發(fā)的血案

首先看下圖 

一天 QA 發(fā)來郵件詢問一個比較異常的事情，某測試業(yè)務(wù)出現(xiàn)多條狀態(tài)碼為 500 的日志，QA 懷疑是有黑客攻擊，我們開始介入進(jìn)行分析。

500 錯誤代表文件真實(shí)存在過并且被人訪問執(zhí)行過，但是現(xiàn)在文件已經(jīng)被刪除了，通過文件名可以判斷并非是業(yè)務(wù)需要的文件，被黑的可能性比較大，然后找來 TOMCAT 和前端 Nginx 日志查看的確被上傳了 webshell。 

根據(jù)攻擊者 IP 和時間等線索通過分析 nginx 和 tomcat 的日志可以確定攻擊者是通過 tomcat 的管理后臺上傳的 webshell，并且通過 webshell 做了許多操作 

但是tomcat 帳號密碼并非弱密碼，how?我們接下來對全網(wǎng)的 tomcat 進(jìn)行了排查，發(fā)現(xiàn)在其中一臺內(nèi)網(wǎng)服務(wù)器存在 tomcat 弱口令，并且?guī)ぬ柵渲梦募泻泄粽呤褂玫膸ぬ柡兔艽a，只是這臺服務(wù)器較早之前下線了公網(wǎng) IP，只保留內(nèi)網(wǎng) IP，并且通過分析這臺服務(wù)器的日志，能夠判斷攻擊者之前就已經(jīng)通過弱口令拿到了服務(wù)器權(quán)限，并且收集了服務(wù)器上的用戶名和密碼等信息。

我們想看看攻擊者到底想干什么，對之前收集的攻擊者 IP 進(jìn)行反滲透，用“黑客”的方法拿到香港，廊坊多臺攻擊者肉雞權(quán)限，肉雞上發(fā)現(xiàn)了大量黑客工具和掃描日志，在其中一臺肉雞上發(fā)現(xiàn)我們內(nèi)網(wǎng)仍有服務(wù)器被控制。

下面兩張圖片可以看到攻擊者通過 lcx 中轉(zhuǎn)了內(nèi)網(wǎng)的反彈 shell 

那么到目前為止我們做了哪些事情呢?

清理后門

清理全網(wǎng) tomcat

梳理全網(wǎng) web 目錄文件

修改業(yè)務(wù)相關(guān)帳號密碼

修改業(yè)務(wù)關(guān)鍵代碼

加強(qiáng) IDC 出口策略

部署 snort

做了好多事情?可是事實(shí)上呢?事情并沒有我們想的那么簡單。

之前的安全事件剛過不久，IT 人員反饋域控服務(wù)器異常，自動重啟，非常異常。登錄域控進(jìn)行排查原因，發(fā)現(xiàn)域控被植入了 gh0st 后門。 

域控被控制，那域控下面的服務(wù)器的安全性就毫無保障，繼續(xù)對辦公網(wǎng)所有的 windows 服務(wù)器排查，發(fā)現(xiàn)多臺 Windows 服務(wù)器被植入后門，攻擊的方法是通過域控管理員帳號密碼利用 at 方式添加計劃任務(wù)。

能夠知道攻擊者是如何入侵的域控服務(wù)器比較關(guān)鍵，對域控服務(wù)器的日志進(jìn)行分析發(fā)現(xiàn)下面可疑的日志：

2011-11-10,14:03:47,Security,審核成功,登錄/注銷 ,540,*\*,PDC,”成功的網(wǎng)絡(luò)登錄:
用戶名:    *.ad
域:      *
登錄 ID:      (0x0,0x1114E11)
登錄類型:   3
登錄過程:   NtLmSsp
身份驗(yàn)證數(shù)據(jù)包:    NTLM
工作站名:   CC-TEST-V2
登錄 GUID:    -
調(diào)用方用戶名: -
調(diào)用方域:   -
調(diào)用方登錄 ID:   -
調(diào)用方進(jìn)程 ID: -
傳遞服務(wù): -
源網(wǎng)絡(luò)地址:  192.168.100.81
源端口:    0

2011-11-10,3:13:38,Security,審核失敗,帳戶登錄 ,680,NT AUTHORITY\SYSTEM,PDC,"嘗試  登錄的用戶:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶:   QM-*$
源工作站:   CC-TEST-V2
錯誤代碼:   0xC000006A
"
2011-11-10,3:13:38,Security,審核失敗,帳戶登錄 ,680,NT AUTHORITY\SYSTEM,PDC,"嘗試  登錄的用戶:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
登錄帳戶:   QM-*$
源工作站:   CC-TEST-V2
錯誤代碼:   0xC000006A

結(jié)合之前的信息能夠鎖定 192.168.100.81 是攻擊源，遂對這臺服務(wù)器進(jìn)行確認(rèn)，結(jié)果有點(diǎn)令人吃驚：

這是一臺虛擬機(jī)，運(yùn)行在一臺普通的 PC 機(jī)上，這臺 PC 機(jī)就放在業(yè)務(wù)部門同事的腳底下，這臺虛擬機(jī)本身啟用了 3389，存在弱口令，我們之前在對內(nèi)網(wǎng)安全檢查時，這臺虛擬機(jī)處于關(guān)機(jī)狀態(tài)。由于這臺虛擬機(jī)上面跑的有測試業(yè)務(wù)，域控管理員曾經(jīng)登錄過。

綜合我們之前得到的信息可以確定這臺虛擬機(jī)是攻擊者入侵我們辦公網(wǎng)的第一臺服務(wù)器，通過把這個虛擬機(jī)作為跳板攻擊辦公網(wǎng)其他服務(wù)器，至于這臺虛擬機(jī)是如何被入侵的，我們后面也確定是因?yàn)樯洗蔚墓羰录粽咄ㄟ^ IDC 進(jìn)入到的辦公網(wǎng)。

我們又做了什么?

排查所有 windows 服務(wù)器

對之前確定被入侵的服務(wù)器重裝，包括域控

snort 上加了 gh0st 的特征

snort 加上 gh0st 的特征后不久我們就發(fā)現(xiàn)我們辦公網(wǎng)還有服務(wù)器被控制 

對這臺服務(wù)器進(jìn)行清理后，我們?nèi)匀粵]有放棄對攻擊者的反滲透，這次我們發(fā)現(xiàn)攻擊者還有美國的 IP，對其滲透，最終通過 c 斷進(jìn)行 cain 嗅探到 3389 的密碼。

登錄到這臺美國 IP 的服務(wù)器后，發(fā)現(xiàn)上面運(yùn)行著 gh0st 的控制端，我們內(nèi)網(wǎng)仍然有一臺服務(wù)器處于上線狀態(tài)。 

其實(shí)到這里這次事件就能告一段落了，關(guān)于攻擊者我們在這臺美國的服務(wù)器上發(fā)現(xiàn)了攻擊者的多個 QQ 和密碼，登錄郵箱后找到了攻擊者的簡歷等私人信息，還有就是我們之前也獲取到攻擊者在國內(nèi)某安全論壇帳號。其實(shí)到這里我們能夠確定攻擊者是誰了。