@TOC
01 事件背景介绍
某内部应急演练中,安全部门收到通知,称公司内部资产被入侵,且可能已经开始内网横向攻击,现需根据流量情况进行安全事件分析。
02 事件分析过程
通过数据包发现10.X.X.2对80.X.X.1/24使用扫描器发起扫描,包括80.X.X.12,80.X.X.48,80.X.X.61
查看源IP 80.X.X.12外连情况发现无异常,重点审查POST请求与响应流量,发现存在thinkphp漏洞执行命令并回显,但并未进行下一步的利用。
通过筛选相关数据包发现,80.X.X.61存在一些可疑的出网流量
80.X.X.61对101.X.X.206:1056发起连接,并发现相关log4j2 payload
继续追踪流量,发现并未针对该漏洞进行下一步利用,通过威胁情报搜索,发现该IP已被标记
查看源IP 80.X.X.48外连情况,发现针对114.114.114.114进行ping行为。
继续检索POST请求与响应流量,发现存在fastjson漏洞执行whoami命令。
发现攻击者曾执行“ping -c 1 114.114.114.114”命令,但从响应状态来看机器不出网。
继续审查流量,发现蚁剑webshell通信流量,自定义请求头xx-options-a,密码abcd。
发现存在bcel注入内存马流量,testshell与testpwd正好对应内存马的自定义请求头和密码。
还原bcel为class,可以看到注入内存马时,使用testpwd和testshell头控制内存马密码和自定义header头,并且将404内容写入响应中。
并且通过反射的注入listener内存马。
将注入的listener字节码base64解码还原,可以清晰的看到注入的内存马为蚁剑jspjs马。
据此判断主机80.X.X.48失陷,继续观察其他流量,未发现其余明显异常行为。
03 事件分析结果
攻击者10.X.X.2使用扫描器对80.X.X.0/24开展扫描,发现多个站点存在漏洞,随后利用站点80.X.X.48 fastjson漏洞进行回显利用,探测网站网络情况后,发现不出网,遂注入listener蚁剑内存马执行命令,准备进一步扩大战果。
04 安全加固建议
1、在安全设备上,如防火墙、IDS上封禁攻击IP:10.X.X.2、101.X.X.206、101.X.X.197。
2、 针对本次失陷主机80.X.X.48,进行网络隔离,排查入侵痕迹和内网横向情况,修复fastjson漏洞,清理木马。
3、针对失陷主机80.X.X.61和存在漏洞主机80.X.X.12,进行网络隔离,排查历史入侵痕迹,修复致远oa和thinkphp历史漏洞,清理木马。
