文章首发奇安信攻防社区
https://forum.butian.net/share/1045
0x01事件说明
在整理资料时翻到了当时一些应急处置的情况再次复盘学习一下,因有了此文,在2020年11月27号某新闻中心称中心电脑全部被创建新用户密码锁定无法正常使用计算机,要求相关技术人员到现场进行应急处置。
0x02现场情况
27号下午17点左右到达现场根据与现场网络负责人沟通得知,该批电脑是向电脑公司租用临时办公的一批电脑,电脑系统均为Windows7系统全部未安装杀毒软件,27号上午时因该中心在到现场前所有计算均已被重装系统且当时并未打算对该事件做进一步的取证溯源等工作,下午时该新闻中心决定对该事件当做安全事件进行处置,当下午应急人员到现场时新闻中心已将所有电脑重装Windows10操作系统。
0x03现场处置
简单了解新闻中心的网络情况,通过交换机连接电信专线网络边界并无任何防火墙等安全设备,受攻击区域有台文件共享服务器,该台文件共享服务器装有数字杀毒软件未被创建新账户从事件发生到现在也未被重装操作系统。
通过数字杀毒软件可以看到该文件共享服务器正在被远程地址113.xx.xx.xx的机器进行爆破登录且该文件共享服务器账户锁定策略等基本加固未开启防火墙未开启等来宾账号未关闭。
通过查看文件共享服务器的安全日志情况其中113.xx.xx.xx的攻击IP早在25号凌晨1点49分就已经对该文件共享服务器进行爆破操作,并在25号16点44分时通过匿名账号成功登录。
通过对攻击IP113.xx.xx.xx进行定位,发现该该IP是企业专线并在市区内,随后联合相关执法部门通过电信对该IP进行调查发现为市内某集团企业的分公司正在使用。
0x04 问题排查
第二天28号随同执法部门前往该集团的分公司进行取证调查,在前往分公司的途中对该IP113.xx.xx.xx进行了资产扫描,发现其对外开放web服务以及远程连接的端口,随后跟网络负责人沟通得知几天前是有将终端电脑里面的虚拟机架设了zabbix服务然后映射至互联网用于监控设备。
起初认为攻击者是通过zabbix服务入侵进来的,将网络接入到虚拟机同一个网络环境中,进入zabbix所在的目录查看zabbix.conf.php配置文件其数据库口令为xxxx123弱口令跟虚拟机的登录口令一致。
随后查看crontab系统的计划任务文件未发现有定时任务,查看历史命令文件也未发现任何异常敏感的命令,查看passwd文件也未发现有新增加异常的用户。
为确保是否存在webshell这类后门并将zabbix的整个web目录打包下载至本地使用D盾进行后门查杀,也未发现有任何异常后门。
与该集团分公司的网络负责人沟通,了解到分公司的网络边界处部署一台上网行为管理,公司内所有电脑访问互联网时流量都会经过它。
通过在第一现场了解到被锁定的电脑是某新闻中心在25号接入到互联网后被感染的,日志上的信息也显示在25号开始机子不断的被爆破账号。
将其上网行为的25号日志导出,筛选目标IP113.xx.xx.xx该新闻中心的C段共有大量的SMB发包记录指向该C段,源头均为内网10.15.4.18的机器,该机器正不断的向目标的445端口大量发包。
0x05 确认肉鸡
虽然知道了内网机器的IP地址,但因该公司的电脑客户端过多足足有三个楼层每个楼层大概几百台机器,后面通过网络管理员翻资料才知道其内网段是属于哪个楼层的但并不能准确的确定到工位,通过ping测试也能知道当前的攻击机器是在开着机的,用了最笨最实际的办法对该楼层所有开机的机子进行查看内网IP地址是否与上网行为管理记录的IP对得上,费了大半天的时间终于定位到了该终端的工位。
在找到工位后确认该机器的防护情况,电脑上并未安装杀毒软件,且远程连接对外开着。
通过cmd命令ntstat显示网络状态以及端口发现该机器曾经向113.12.xx.xx段的445端口进行过大量的发包,确定该机器已沦为黑客的肉鸡。
通过查看该机器注册表的启动项发现可疑程序svchost.exe,wmiex.exe初步判断为后门的启动项。
因此使用任务管理器查看进程,发现可疑程序svchost.exe目前还在运行,进入其目录在上方工具处将显示隐藏文件打开,该程序早在2019年4月2号时就已经被植入了后门,且该程序同级目录下有mkatz.ini文件可以看到该机器的登录密码为弱口令。
通过netstat命令得到该后门程序svchost.exe曾与123.xxx.xxx.xxx,49.7.xxx.xxx有过数据通信记录疑似该后门软件的远控服务器。
0x06 后门分析
将后门程序svchost.exe上次至微步云沙箱进行行为分析,恶意程序先是释放了ps1文件后将自身C:Windowstempsvchost.exe添加至计划任务,后通过powershell执行ps1文件读取到密码写出mkatz.ini,再通过CMD将powershell经过base64加密后的执行命令添加至计划任务7点执行一次进行权限维持。
后通过释放出来的netsh.exe程序修改防火墙规则从而后续攻击别的地方开放445端口的机器扩撒感染范围。
通过恶意程序执行的powershell命令进行base64解密得到远程回传URL地址为v.beahh.com,在通过威胁情报搜索该URL显示该地址为驱动人生后门的回传服务器。
0x07 总结
该木马运行后会释放一个m.ps1 PowerShell运行程序,此程序会调用Mimikatz脚本,进行本机用户和密码的抓取, 同时创建计划任务,每天7点自动向v.beahh.com发送http请求下载域名解析后服务器上的程序,该木马会发送基于445端口的SMB数据包,同时具有扫描内网和外网开放445端口的ip,即便已安装永恒之蓝的补丁,也无法遏制内网传播,一旦开启了SMB服务则有可能会中毒,该木马是利用445端口进行SMB域账户爆破,该病毒实施的SMB爆破行为,是基于SMBV2协议的一种攻击方式,且木马中内置弱口令账户和密码,同通过IPC$空连接进行SMB服务的账户爆破或登陆。
可以判定该后门是驱动人生后门感染的,后门生成的时间也正好和驱动人生后门事件爆发的时间对得上,建议将计算机登录口令修改成强口令;将系统中的高危端口关闭;安装杀毒防护软件定时全盘杀毒扫描。
原创投稿作者:夜无名