本文首发于奇安信攻防社区
0x01 事件描述
在整理资料的时候,碰巧当时有一些应急情况,又重新回顾了一下。因为这篇文章,2020年11月27日,中心有消息称,中心所有电脑被新建用户密码锁定,无法正常使用,需要相关技术人员到现场应急处理。
0x02 现场情况
记者于27日下午17点左右到达现场,经与现场网管沟通得知,这些电脑是从电脑公司租用的,用于临时办公,电脑系统全部为Windows 7,未安装任何杀毒软件。27日上午,中心所有电脑在到达现场前已重新安装内网外网同时上 软件,当时暂无计划对事件做进一步取证和追溯。下午,新闻中心决定将此事作为安全事件处理。下午应急人员到达现场时,新闻中心已在所有电脑上重新安装了Windows 10操作系统。
0x03 现场处置
简单了解新闻中心网络情况可知,网络边界通过交换机连接电信专线,无防火墙等安全设备。受攻击区域内有一台文件共享服务器内网外网同时上 软件,该文件共享服务器装有数码杀毒软件。事件发生至今,服务器没有新建任何账户,也没有重新安装过操作系统。
通过数码杀毒软件可以看到文件共享服务器正在被远程地址113.xx.xx.xx的机器暴力登录,并且文件共享服务器账户锁定策略未开启、防火墙未启用、来宾账户未关闭等基本加固。
通过查看文件共享服务器的安全日志发现,攻击IP 113.xx.xx.xx早在25日凌晨1点49分就已对文件共享服务器进行过爆破操作,并于25日16点44分通过匿名账号成功登录。
通过对攻击IP 113.xx.xx.xx进行定位,我们发现该IP为企业专线,且位于市区,随后我们联合相关执法部门通过电信方式对该IP进行联合侦查,发现该IP为某集团公司驻市区分支机构使用。
0x04 故障排除
第二天也就是28号我们陪同执法部门到该集团的分局进行取证,在去分局的路上,我们对IP113.xx.xx.xx的资产进行了扫描,发现其开放了web服务和远程连接端口。与网管沟通后得知,前几天在终端电脑里的虚拟机里架设了zabbix服务,并映射到互联网上用于监控设备。
一开始我们以为是攻击者通过zabbix服务入侵的,我们把网络连到和虚拟机同一个网络环境,进入zabbix所在目录,查看zabbix.conf.php配置文件,数据库密码为xxxx123,与虚拟机登录密码一致的弱密码。
随后我们检查了crontab系统的计划任务文件,没有发现任何计划任务;检查了历史命令文件,没有发现任何异常的敏感命令;检查了passwd文件,也没有发现任何新的异常用户。
为确保是否存在webshell等后门,将zabbix整个web目录打包下载到本地,使用D盾进行后门检测,未发现异常后门。
经与集团分公司的网络管理员沟通得知,分公司网络边界部署了一套上网行为管理系统,公司内所有计算机上网的流量都要经过该系统。
通过实地调查,我们得知被锁的电脑是在25日某新闻中心接入网络后被感染的,日志中的信息也显示,从25日开始,该机器的账号不断被黑客入侵。
导出其上网行为的25号日志,过滤目标IP 113.xx.xx.xx。其中有大量SMB数据包记录指向新闻中心的C段,来源为内网10.15.4.18的机器,该机器正在不断向目标的445端口发送大量数据包。
0x05 确认肉鸡
虽然我们知道了内网机器的IP地址,但是公司电脑客户端实在是太多了,一共有三层楼,每层楼都有上百台机器。后来我们从网管那里打听到这个内网段是属于哪一层的,但是却无法准确判断出是哪台工作站。通过ping测试也能知道当前攻击的机器是开机的。我们用最笨最实用的办法,把该楼层所有开机的机器都排查一遍,看看内网IP地址和上网行为管理记录里的IP是否匹配。花了大半天时间,终于定位到了终端的工作站。
找到工作站后,我确认了机器的防护状态,电脑上没有安装杀毒软件,远程连接处于打开状态。
使用cmd命令ntstat显示网络状况及端口,发现该机器向113.12.xx.xx网段的445端口发送了大量的数据包,确认该机器已经成为黑客的僵尸机。
通过检查机器注册表中的启动项,我们发现了可疑程序svchost.exe、wmiex.exe,初步判断为该后门的启动项。
因此我们使用任务管理器查看进程,发现可疑程序svchost.exe仍在运行,进入其目录会打开上述工具中的隐藏文件,该程序早在2019年4月2日就被植入后门,与该程序同目录下有一个mkatz.ini文件,显示该机器的登录密码为弱密码。
通过netstat命令发现后门程序svchost.exe与123.xxx.xxx.xxx、49.7.xxx.xxx有数据通信记录,怀疑为后门软件的远程控制服务器。
0x06 后门分析
后门程序svchost.exe被发送到微步云沙箱进行行为分析,恶意程序首先释放ps1文件,然后将自身的C:\Windows\temp\svchost.exe添加到计划任务中,然后通过powershell执行ps1文件读取密码并写出mkatz.ini,之后通过CMD将经过base64加密的powershell的执行命令添加到计划任务中,并在7点钟执行一次,以维持权限。
释放的netsh.exe程序随后被用来修改防火墙规则,从而随后攻击其他开放445端口的机器,扩大感染范围。
对恶意程序执行的PowerShell命令进行base64解密后得到的远程返回URL地址为v.beahh.com,对该URL进行威胁情报搜索可知,该地址为Driver Life后门的返回服务器。
0x07 总结
该木马运行后会释放一个m.ps1的PowerShell运行程序,该程序会调用Mimikatz脚本抓取本地用户及密码,同时会创建计划任务,每天7点自动向v.beahh.com发送http请求,在服务器上下载域名解析后的程序。该木马会基于445端口发送SMB数据包,对内网及外网开放445端口的IP地址进行扫描,即便已经安装永恒之蓝补丁,也无法遏制内网传播,一旦开启SMB服务,可能就会中毒。该木马利用445端口对SMB域账号进行爆破。病毒实施的SMB爆破行为是基于SMBV2协议的攻击手段,且该木马内置弱密码账号及密码,通过IPC$空连接对SMB服务账号进行爆破或登录。
可以确定该后门感染了Driver Life后门,后门生成时间与Driver Life后门事件爆发时间相吻合,建议将电脑登录密码改为强密码;关闭系统中高危端口;安装杀毒防护软件并定期进行全盘杀毒扫描。
如有侵权请私信公众号删除帖子
