开启sysmon日志记录
开启apache日志记录
开启mysql日志记录
优化security日志覆盖策略
日常登录服务器,看到桌面的“masScan_1.6”文件夹,心中一片窃喜:来活了!
排查网络连接情况,没有需要处置的恶意网络连接。
排查进程情况,没有需要处置的恶意进程。
排查apache日志,发现美国的IP地址91.246.37.127发起过两轮相同的自动化攻击,每轮约持续半分钟,各产生26条相同日志。
第一轮持续时间是2024年10月02日20时18分15秒至42秒,关键日志如下:
日志含义是:
1、登录phpMyAdmin
2、执行3个SQL语句,获得webshell
3、执行6个webshell命令
第二轮持续时间是2024年10月02日20时21分59秒至22分30秒,日志与第一轮相同:
由此可知,攻击者利用的漏洞是phpMyAdmin弱口令,修改为强口令即可。
排查mysql日志,以及webshell文件,可知第一轮攻击执行的3个SQL语句是:
1、利用文件导出函数INTO OUTFILE写入webshell文件5d.php
2和3、利用mysql日志文件写入webshell文件dpvebhqgkc.php
继续排查webshell文件,可知第二轮攻击执行的3个SQL语句,与第一轮相同:
由此可知,攻击者主要遗留的webshell后门,是:5d.php、dpvebhqgkc.php、vvmbhvehak.php,直接删除就行。
排查sysmon日志,发现第一轮攻击执行的6个webshell命令,只有4个执行成功:
1、利用echo命令直接写入webshell文件5d.php;
2、同上
3、下载恶意程序,命名为gauexjqv.exe,并执行;
在执行gauexjqv.exe时,会执行C:\5671.vbs脚本,但没找到该脚本,可能是gauexjqv.exe程序创建并执行然后删除了。
4、同上
继续排查sysmon日志,第二轮攻击执行的webshell命令与第一轮相同,直接贴图:
1、
2、
3、
4、
目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对下载的恶意程序gauexjqv.exe进行分析。
分析结果:https://s.threatbook.com/report/file/bdf1b0b7678e470aa32df8b562aa0cda0e523148d81d203b25a25a819aa06e4c
其中以下行为是创建并执行然后删除C:\5671.vbs脚本,与刚才的分析吻合。
恶意程序gauexjqv.exe将自身拷贝到其他目录下,需要找到并删除:
创建了启动恶意程序gauexjqv.exe的服务,但实际并未创建成功,需要找到并删除:
至此仍未发现与桌面的“masScan_1.6”文件夹相关的攻击行为,经排查发现这是两起独立的攻击事件。
排查security日志,发现湖北的IP地址111.180.207.58于2024年10月03日05时45分,成功登陆过4次Administrator账户。
且该IP地址存在大量爆破Administrator账户的记录,由此可判断攻击者是通过爆破弱口令获得了登录密码。
半小时后,伊朗的IP地址5.121.6.28于2024年10月03日06时12分,成功登陆过3次Administrator账户。该时间与桌面的“masScan_1.6”文件夹创建时间相差3分钟。
但是该IP地址并无登录失败记录,不像是爆破弱口令获得的帐号密码。由此可猜测,但也仅仅只是猜测,湖北IP爆破出Administrator密码后,交给了伊朗IP进行登录利用。
由此可知,攻击者利用的漏洞是RDP弱口令,修改为强口令即可。
排查sysmon日志,发现攻击者首先部署了winpcap工具。
C:\Users\Administrator\Desktop\masScan_1.6\winpcap-4.13.exe
net stop npf
net start npf
然后使用masscan扫描互联网上开放了3389端口的服务器,注意这里的svchost.com是恶意程序。
"C:\Windows\svchost.com" "C:\Users\ADMINI~1\Desktop\MASSCA~1.6\masscan.exe" -iL Input.txt -oL Output.txt --open --rate 1000000 -p3389 --exclude 255.255.255.255 --open-only
目前仅靠sysmon日志无法获取更多信息,因此使用沙箱对恶意程序svchost.com进行分析。
分析结果:https://s.threatbook.com/report/file/8455d1832df2da3b327d6fb0e030643f5d5415fb3076c11ac05846c99421b88b
发现“文件默认打开程序”后门,需将注册表修改回来。
改回前:
改回后:
未发现自启服务后门
未发现自启程序后门
未发现系统用户后门
未发现计划任务后门
未发现WMI工具后门
不涉及
不涉及
本文分享自 OneMoreThink 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!