欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

记一次服务器被入侵的调查取证

来源:本站整理 作者:fish1983 时间:2018-06-26 TAG: 我要投稿

0×1 事件描述

小Z所在公司的信息安全建设还处于初期阶段,而且只有小Z新来的一个信息安全工程师,所以常常会碰到一些疑难问题。一天,小Z接到运维同事的反映,一台tomcat 的web服务器虽然安装了杀软,但是还是三天两头会出现杀软病毒报警,希望他能查下原因。

小Z首先设想了三种可能性:

1.存在系统漏洞

2.由于前期运维在服务器上装了一些工具软件,会不会工具软件引入的病毒

3.应用层漏洞。
于是,他从这三方面开始了调查。

首先,小Z用更新库的漏扫对系统层面的漏洞检测,未发现任何异常;由于会有开发连接进这台服务器,他去开发那里收集工具软件进行查毒处理,也没发现异常,排除通过软件带入病毒的可能;那难道是通过应用层漏洞进来的?因为系统上线前都会经过web渗透测试,文件上传,SQL注入等常规漏洞已经修复,虽然这样,小Z还是重新验证了一遍漏洞,没有问题,又用D盾webshell检测工具进行了扫面,未发现任何webshell。

那病毒是怎么产生的?

0×2 溯源准备

由于病毒无法清干净,也不清楚黑客是已经在机器上做了哪些手脚,业务方要求小Z重新搭建一个干净的环境,给系统打好最新的补丁,交给开发重新放入生产。由于前期没有在主机端做日志收集类工具,缺乏主机端的攻击溯源手段,小Z临时搭建了splunk日志分析系统,并在新搭建的服务器上安装了sysmon日志收集工具,对主机层面进行了日志收集。过了一星期左右,小Z发现系统进程里面居然多了个叫wcmoye的进程,凭感觉这不是个正常程序,那就先从这个程序开始入手调查吧。

0×3 常规排查

常规排查还是采用了微软经典系统工具systeminternals套件,分别对启动项,系统进程,网络连接等简单做了排查。

启动项除了services这一项发现了一个奇怪的StuvwxAbcdefg Jkl,其他没有特别值得注意的地方。

进程排查就是那个叫wcmoye.exe的进程

进程依赖于StuvwxAbcdefgh Jkl这个服务

网络通信:用tcpview观察wcmoye.exe会不定时连接一公网ip的9999端口

同时会有一些注册表及文件系统上的行为,确定wcmoye躲在C:\windows\syswow64目录下

初步排查得出的结论是:wcmoye进程依赖于名叫Stuvwx Abcdefg Jkl系统服务,去syn链接公网ip的9999端口,是个木马程序。

在对wcmoye有了一定认识之后,小Z想它是从哪里来的,这时,小Z之前搭建的日志分析系统派上了用场。

0×4 日志排查

这个问题得从wcmoye.exe在系统中产生的第一时间着手调查。于是打开splunk开始搜索:通过 wcmoye关键字的搜索,发现6月6日20:24发生如下可疑事件:

20:24:11 Tomcat目录下有一个叫NewRat的可执行文件生成wcmoye.exe,原来wcmoye是有一个叫NewRat的可执行文件生成的,但是回到Tomcat目录下查看,并没有发现NewRat.exe这个文件.

不急,进一步搜索NewRat,小Z发现了更大的信息量:在wcmoye被创建的前一秒 20:24:10,tomcat7.exe去调用cmd.exe执行了一段比较长的脚本,

随着时序跟踪事件的发展,发现在20:24:12 调用cmd.exe删除了NewRat.exe

同时还观察到services.exe的执行,系统服务创建

关注sysmon的EventCode 3 ,wcmoye的进程会与下载NewRat的那个公网ip的9999端口有通信日志,

其实到这里,wcmoye是从哪里进来的已经基本搞清楚了,接下来的问题就是为什么会进来?Tomcat为什么去执行这些恶意命令?现在唯一的线索就是日志中的那个ftp登陆的ip以及账号密码了,继续吧。

0×5 顺藤摸瓜

小Z带着好奇心,继续探索过程,直接进入了这个ftp服务器!

使用FileZilla进入ftp服务器的目录,以一目十行地速度快速扫了一遍,首先蹦入小Z眼帘的就是NewRat.exe,不错,和前面的调查结果相吻合,NewRat就安静地躺在这里。

还有个独特专版st2-045 winlinux小组版文件夹,潜意识告诉小Z这个文件夹里面很可能有谜底的答案,先直接百度一下

好家伙,双系统传马还Kill国内外主流杀毒软件,关键是st2-045这个就是远程代码执行(RCE)漏洞(S2-045,CVE-2017-5638),小Z不禁一颤,之前居然没想到测试这个高危的提权漏洞。

start.bat开始看吧

有一个叫wincmd.txt的文件,是winows平台下的执行脚本,红框的内容和前面splunk日志中的那段日志一模一样,也就是帮小Z引导到这里的那段关键日志。

Linux平台的脚本:关闭防火墙,下载一个叫tatada的ELF文件,把netstat等系统命令改名,清空日志等等

Result.txt文件,记录着一些扫描到的ip的端口开放情况

Windows.txt和linux.txt里面貌似都是存在漏洞的网址。。。

而且其中有一个关键的发现,就是小Z所在公司的网站接口居然在一个叫http.txt的list里面

到这里,小Z已经大致猜得出自己的公司网站是怎么被盯上的了。再看下几个可执行文件:

S.exe就是扫描器

IDA载入str045

看得出Str045.exe就是struts2-045的利用脚本程序,他会去读取S.exe扫描出的ip及端口开放情况的文件,组合do,action等开启多线程去exploit,然后根据被攻击的系统版本,去执行相应的脚本,像小Z公司的这台web服务器是windows的,就会去执行wincmd.txt。

0×6 网络架构

目前调查到的种种迹象让小Z坚信黑客是通过struts2-45漏洞进来的!于是小Z去网上下载了一个最新的struts漏洞检查工具,直接对网站的80端口进行检测,但结果出乎意料,居然没有漏洞报警。

黑客服务器上只有针对strusts2-045的攻击脚本,但是检测又没有发现漏洞。这个矛盾的问题不禁让小Z思考更多的可能性。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载