记一次fastjson事件应急响应

本文涉及的产品
应用实时监控服务-用户体验监控,每月100OCU免费额度
可观测监控 Prometheus 版,每月50GB免费额度
注册配置 MSE Nacos/ZooKeeper,118元/月
简介: 记一次fastjson事件应急响应

01 事件背景介绍




某内部应急演练中,安全部门收到通知,称公司内部资产被入侵,且可能已经开始内网横向攻击,现需根据流量情况进行安全事件分析。


02 事件分析过程




通过数据包发现10.X.X.2对80.X.X.1/24使用扫描器发起扫描,包括80.X.X.12,80.X.X.48,80.X.X.61

image.png

查看源IP 80.X.X.12外连情况发现无异常,重点审查POST请求与响应流量,发现存在thinkphp漏洞执行命令并回显,但并未进行下一步的利用。

image.png

通过筛选相关数据包发现,80.X.X.61存在一些可疑的出网流量

image.png

80.X.X.61对101.X.X.206:1056发起连接,并发现相关log4j2 payload

image.png

继续追踪流量,发现并未针对该漏洞进行下一步利用,通过威胁情报搜索,发现该IP已被标记

image.png

查看源IP 80.X.X.48外连情况,发现针对114.114.114.114进行ping行为。

image.png

继续检索POST请求与响应流量,发现存在fastjson漏洞执行whoami命令。

image.png

发现攻击者曾执行“ping -c 1 114.114.114.114”命令,但从响应状态来看机器不出网。

image.png

继续审查流量,发现蚁剑webshell通信流量,自定义请求头xx-options-a,密码abcd。

image.png

发现存在bcel注入内存马流量,testshell与testpwd正好对应内存马的自定义请求头和密码。

image.png

还原bcel为class,可以看到注入内存马时,使用testpwd和testshell头控制内存马密码和自定义header头,并且将404内容写入响应中。

image.png

并且通过反射的注入listener内存马。

image.png

将注入的listener字节码base64解码还原,可以清晰的看到注入的内存马为蚁剑jspjs马。

image.png

据此判断主机80.X.X.48失陷,继续观察其他流量,未发现其余明显异常行为。



03 事件分析结果


攻击者10.X.X.2使用扫描器对80.X.X.0/24开展扫描,发现多个站点存在漏洞,随后利用站点80.X.X.48 fastjson漏洞进行回显利用,探测网站网络情况后,发现不出网,遂注入listener蚁剑内存马执行命令,准备进一步扩大战果。


04 安全加固建议


1、在安全设备上,如防火墙、IDS上封禁攻击IP:10.X.X.2、101.X.X.206、101.X.X.197。

2、 针对本次失陷主机80.X.X.48,进行网络隔离,排查入侵痕迹和内网横向情况,修复fastjson漏洞,清理木马。

3、针对失陷主机80.X.X.61和存在漏洞主机80.X.X.12,进行网络隔离,排查历史入侵痕迹,修复致远oa和thinkphp历史漏洞,清理木马。

目录
相关文章
|
2月前
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
|
7月前
|
存储 监控 安全
企业如何建立网络事件应急响应团队?
建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。
143 1
|
安全 Java 应用服务中间件
记一次异常外联事件应急响应
记一次异常外联事件应急响应
353 0
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3650 0
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
443 14
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1037 0
信息安全-应急响应-阿里云安全应急响应服务
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2379 0
|
安全 黑灰产治理
有重奖!阿里安全应急响应中心“2018 专项情报收集计划”
我们发布《2018专项情报收集计划》,相关情报我们有更强的意愿接收及给出更好的奖励,并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
2565 0