应急实战(9)：一次简简单单的应急

1. Prepare

1.1 开启日志记录

开启sysmon日志记录

开启apache日志记录

开启mysql日志记录

1.2 优化日志策略

优化security日志覆盖策略

2. Detect

2.1 运维发现

日常登录服务器，看到桌面的“masScan_1.6”文件夹，心中一片窃喜：来活了！

3. Contain

3.1 暂无需要遏制的事项

排查网络连接情况，没有需要处置的恶意网络连接。

排查进程情况，没有需要处置的恶意进程。

4. Eradicate

4.1 phpMyAdmin弱口令漏洞

排查apache日志，发现美国的IP地址91.246.37.127发起过两轮相同的自动化攻击，每轮约持续半分钟，各产生26条相同日志。

第一轮持续时间是2024年10月02日20时18分15秒至42秒，关键日志如下：

日志含义是：

1、登录phpMyAdmin

2、执行3个SQL语句，获得webshell

3、执行6个webshell命令

第二轮持续时间是2024年10月02日20时21分59秒至22分30秒，日志与第一轮相同：

由此可知，攻击者利用的漏洞是phpMyAdmin弱口令，修改为强口令即可。

4.2 Webshell后门

排查mysql日志，以及webshell文件，可知第一轮攻击执行的3个SQL语句是：

1、利用文件导出函数INTO OUTFILE写入webshell文件5d.php

2和3、利用mysql日志文件写入webshell文件dpvebhqgkc.php

继续排查webshell文件，可知第二轮攻击执行的3个SQL语句，与第一轮相同：

由此可知，攻击者主要遗留的webshell后门，是：5d.php、dpvebhqgkc.php、vvmbhvehak.php，直接删除就行。

4.3 通过Webshell创建的后门

排查sysmon日志，发现第一轮攻击执行的6个webshell命令，只有4个执行成功：

1、利用echo命令直接写入webshell文件5d.php；

2、同上

3、下载恶意程序，命名为gauexjqv.exe，并执行；

在执行gauexjqv.exe时，会执行C:\5671.vbs脚本，但没找到该脚本，可能是gauexjqv.exe程序创建并执行然后删除了。

4、同上

继续排查sysmon日志，第二轮攻击执行的webshell命令与第一轮相同，直接贴图：

1、

2、

3、

4、

目前仅靠sysmon日志无法获取更多信息，因此使用沙箱对下载的恶意程序gauexjqv.exe进行分析。

分析结果：https://s.threatbook.com/report/file/bdf1b0b7678e470aa32df8b562aa0cda0e523148d81d203b25a25a819aa06e4c

其中以下行为是创建并执行然后删除C:\5671.vbs脚本，与刚才的分析吻合。

恶意程序gauexjqv.exe将自身拷贝到其他目录下，需要找到并删除：

创建了启动恶意程序gauexjqv.exe的服务，但实际并未创建成功，需要找到并删除：

4.4 RDP弱口令漏洞

至此仍未发现与桌面的“masScan_1.6”文件夹相关的攻击行为，经排查发现这是两起独立的攻击事件。

排查security日志，发现湖北的IP地址111.180.207.58于2024年10月03日05时45分，成功登陆过4次Administrator账户。

且该IP地址存在大量爆破Administrator账户的记录，由此可判断攻击者是通过爆破弱口令获得了登录密码。

半小时后，伊朗的IP地址5.121.6.28于2024年10月03日06时12分，成功登陆过3次Administrator账户。该时间与桌面的“masScan_1.6”文件夹创建时间相差3分钟。

但是该IP地址并无登录失败记录，不像是爆破弱口令获得的帐号密码。由此可猜测，但也仅仅只是猜测，湖北IP爆破出Administrator密码后，交给了伊朗IP进行登录利用。

由此可知，攻击者利用的漏洞是RDP弱口令，修改为强口令即可。

4.5 通过RDP创建的后门

排查sysmon日志，发现攻击者首先部署了winpcap工具。

C:\Users\Administrator\Desktop\masScan_1.6\winpcap-4.13.exe

net stop npf

net start npf

然后使用masscan扫描互联网上开放了3389端口的服务器，注意这里的svchost.com是恶意程序。

"C:\Windows\svchost.com" "C:\Users\ADMINI~1\Desktop\MASSCA~1.6\masscan.exe" -iL Input.txt -oL Output.txt --open --rate 1000000 -p3389 --exclude 255.255.255.255 --open-only

目前仅靠sysmon日志无法获取更多信息，因此使用沙箱对恶意程序svchost.com进行分析。

分析结果：https://s.threatbook.com/report/file/8455d1832df2da3b327d6fb0e030643f5d5415fb3076c11ac05846c99421b88b

发现“文件默认打开程序”后门，需将注册表修改回来。

改回前：

改回后：

4.6 未发现其他后门

未发现自启服务后门

未发现自启程序后门

未发现系统用户后门

未发现计划任务后门

未发现WMI工具后门

5. Recover

不涉及

6. Follow-Up

不涉及