網(wǎng)絡(luò)安全

大事件拾遺網(wǎng)絡(luò)安全大事件拾遺 [圖片上傳失敗...(image-cbbc57-1668125400440)][圖片上傳失敗...(image-65ce20-1668125400440)][圖片上傳失敗...(image-46289d-1668125400440)]
除了我們親身參與處置的安全事件
之外赋荆，在 2019 年還發(fā)生了許多與安全應(yīng)急息息相關(guān)的大事件细诸， 這些事件或標(biāo)示著一個(gè)新時(shí)代的開(kāi)啟孔祸，或預(yù)示著某種新的攻擊方式可能會(huì)開(kāi)始流行，這里我們挑出有代 表性的幾件并做簡(jiǎn)要點(diǎn)評(píng)，希望能對(duì)全年的安全事件有一個(gè)更為完整的觀察。### 美國(guó)對(duì)伊朗發(fā)起網(wǎng)絡(luò)戰(zhàn)網(wǎng)絡(luò)攻擊
正式成為軍事工具6 月 20 日美國(guó)對(duì)伊朗部分目標(biāo)明確發(fā)動(dòng)網(wǎng)絡(luò)戰(zhàn)，這是網(wǎng)絡(luò)攻擊第一次公開(kāi)作為攻擊主力投入戰(zhàn)場(chǎng)茫经， 成為重要軍事工具直接服務(wù)于美國(guó)的對(duì)外政策。這也讓波斯灣成為首次數(shù)字世界沖突的舞臺(tái)河闰，網(wǎng)絡(luò)超限 實(shí)戰(zhàn)正在成為整體政治戰(zhàn)略的重要組成部分科平。
事件點(diǎn)評(píng)：
根據(jù)美國(guó)戰(zhàn)略與國(guó)際研究中心（CSIS）研究顯示楞卡，伊朗雖然還不在網(wǎng)絡(luò)大國(guó)的榜首垦细，但在網(wǎng)絡(luò)戰(zhàn)的 戰(zhàn)略和組織方面卻領(lǐng)先于大多數(shù)國(guó)家。國(guó)土安全部發(fā)布了一份公告茅主，宣稱(chēng)：“伊朗歷史性的利用網(wǎng)絡(luò)進(jìn) 攻活動(dòng)進(jìn)行報(bào)復(fù)部念∑茫”公告還指出氨菇，伊朗不斷提高其進(jìn)攻性網(wǎng)絡(luò)能力，他們繼續(xù)從事常規(guī)的攻擊活動(dòng)妓湘，包 括網(wǎng)站篡改查蓉，分布式拒絕服務(wù)（DDoS）攻擊和個(gè)人身份信息的盜竊，但他們也愿意突破其活動(dòng)范圍榜贴， 包括破壞性惡意軟件和潛在的針對(duì)物聯(lián)網(wǎng)和工控系統(tǒng)的攻擊豌研。
美伊之間相互的網(wǎng)絡(luò)攻擊從未真正停止過(guò)，2020 年初唬党，美軍空襲伊朗高官鹃共，伊朗發(fā)起報(bào)復(fù)攻擊， 網(wǎng)絡(luò)戰(zhàn)是否會(huì)進(jìn)入不受控制的新時(shí)代驶拱？
參考

世界鋁業(yè)巨頭被攻擊基礎(chǔ)設(shè)施應(yīng)急能力待提升

2019 年 3 月霜浴，全球最大鋁生產(chǎn)商之一挪威海德魯公司（Norsk Hydro）發(fā)布公告稱(chēng)，旗下多家工廠 受到一款名為 LockerGoga 的勒索病毒攻擊蓝纲，被迫臨時(shí)關(guān)閉多個(gè)工廠并將挪威阴孟、卡塔爾和巴西等國(guó)家的 工廠運(yùn)營(yíng)模式改為手動(dòng)模式。公司的整個(gè)網(wǎng)絡(luò)都陷于癱瘓中税迷，影響到所有生產(chǎn)活動(dòng)和公司日常運(yùn)作永丝。根 據(jù)對(duì) LockerGoga 勒索病毒樣本的分析，這是一個(gè)新的勒索軟件系列箭养，除了對(duì) Norsk Hydro 的攻擊外类溢， 兩家美國(guó)化學(xué)公司也遭到同一惡意軟件的攻擊。
事件點(diǎn)評(píng)：
這次事件一方面可以說(shuō)明露懒，針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施的攻擊無(wú)論是頻率還是范圍都在增加；另一方面 也可以看到目前關(guān)鍵信息基礎(chǔ)設(shè)施的安全防護(hù)和應(yīng)急體系都還非常薄弱砂心，基礎(chǔ)的漏洞管理和應(yīng)急處置預(yù) 案亟待建立懈词。

委內(nèi)瑞拉大規(guī)模停電關(guān)注工控和物聯(lián)網(wǎng)安全

2019 年 3 月委內(nèi)瑞拉最大的電力設(shè)施古里水電站計(jì)算機(jī)系統(tǒng)控制中樞遭受到網(wǎng)絡(luò)攻擊，引發(fā)全國(guó) 性大面積停電辩诞，約 3000 萬(wàn)人口受到影響坎弯。7 月古里水電站再次遭到攻擊，委內(nèi)瑞拉再度發(fā)生影響 16 個(gè) 州的大范圍停電译暂。委內(nèi)瑞拉通信和信息部長(zhǎng)指責(zé)美國(guó)的網(wǎng)絡(luò)攻擊是委內(nèi)瑞拉停電的原因抠忘。
事件點(diǎn)評(píng)：
目前工控系統(tǒng)（ICS）和物聯(lián)網(wǎng)（IoT）已經(jīng)成為黑客攻擊的目標(biāo)，工控系統(tǒng)往往屬于國(guó)家關(guān)鍵基礎(chǔ)實(shí)施外永， 對(duì)國(guó)家級(jí)黑客和網(wǎng)絡(luò)部隊(duì)具有強(qiáng)大的吸引力崎脉；而大部分物聯(lián)網(wǎng)系統(tǒng)安全防護(hù)薄弱，存在大量低級(jí)問(wèn)題伯顶， 容易被控制并用于拒絕服務(wù)攻擊或挖礦囚灼。這些攻擊具有影響范圍廣骆膝、攻擊成本低的特點(diǎn)；未來(lái)基于工控 和物聯(lián)網(wǎng)系統(tǒng)的攻擊將不斷增長(zhǎng)灶体，成為安全對(duì)抗的主要方向之一阅签。

針對(duì)東歐和中亞國(guó)家的攻擊活動(dòng)政治意味明顯

APT攻擊在 2019 年依然活躍，而且越來(lái)越多的 APT攻擊表現(xiàn)出政治特性蝎抽。在 8 月政钟，一個(gè)歐洲的威 脅情報(bào)團(tuán)隊(duì)收集了一封新的魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)電子郵件，該惡意電子郵件以附件為誘餌文檔樟结，使用 Word 打開(kāi)此文檔將下載包含惡意宏的 Word 文檔和一個(gè) zip 文件养交。經(jīng)過(guò)分析，這是一場(chǎng)針對(duì)東歐和中亞國(guó)家 的使館和外交部的釣魚(yú)攻擊狭吼，意在執(zhí)行一系列多階段惡意指令后感染主機(jī)层坠，并從受害者系統(tǒng)竊取數(shù)據(jù)；
而攻擊者就是大名鼎鼎的 APT28刁笙，也被稱(chēng)為 Sednit破花、 Fancy Bear、 STRONTIUM疲吸，是一個(gè)至少?gòu)?2004 年活躍至今的俄羅斯威脅組織座每。
事件點(diǎn)評(píng)：
APT攻擊組織的背后通常都有國(guó)家的背景，攻擊目標(biāo)也多是竊取機(jī)密信息摘悴，破壞關(guān)鍵信息基礎(chǔ)設(shè)施 等峭梳。隨著目前國(guó)際形勢(shì)的變化，中國(guó)作為 APT攻擊的主要受害國(guó)蹂喻，必會(huì)受到更多的攻擊組織的關(guān)注葱椭。 隨著國(guó)家對(duì)網(wǎng)絡(luò)安全的重，不斷加強(qiáng)安全建設(shè)口四，舉辦安全競(jìng)賽和演練孵运，目前關(guān)鍵信息基礎(chǔ)設(shè)施的安全
問(wèn)題得到部分改善。但 APT攻擊變化多端蔓彩，具備高度隱蔽性治笨，依靠傳統(tǒng)的安全防御體系很難發(fā)現(xiàn)和防護(hù)， 如何有效檢測(cè)和防護(hù) APT攻擊已經(jīng)成為了目前應(yīng)急能力建設(shè)的熱點(diǎn)赤嚼。

涉嫌泄露億條公民信息考拉征信被查

2019 年 11 月旷赖，據(jù)央網(wǎng)報(bào)道，江蘇警方依法打擊了 7 家涉嫌侵犯公民個(gè)人信息犯罪的公司更卒。這 7 家公司涉嫌非法緩存公民個(gè)人信息 1億多條等孵，其中，考拉征信因涉嫌非法提供身份證照查詢(xún) 9800 多萬(wàn)次蹂空， 獲利 3800 萬(wàn)元“榜上有名”流济。警方已將考拉征信法定代表人锐锣、董事長(zhǎng)、銷(xiāo)售绳瘟、技術(shù)等 20 余名涉案人 員抓獲雕憔。
事件點(diǎn)評(píng)：
數(shù)據(jù)保護(hù)尤其是隱私保護(hù)的話題一直保持著極高的熱度。在這個(gè)“數(shù)據(jù)即為財(cái)富”的時(shí)代糖声，各大互 聯(lián)網(wǎng)廠商乃至傳統(tǒng)電信行業(yè)都卯足了勁斤彼，誓要挖掘出數(shù)據(jù)的全部?jī)r(jià)值，其中不乏一些廠商巧立名目蘸泻，在 用戶無(wú)法發(fā)現(xiàn)的地方悄悄地“積攢財(cái)富”琉苇。
隨著民眾和社會(huì)對(duì)個(gè)人隱私保護(hù)的逐漸重，我國(guó)也正在逐步完善國(guó)內(nèi)的個(gè)人數(shù)據(jù)保護(hù)法律體系悦施。 從《網(wǎng)絡(luò)安全法》中明確規(guī)定未履行個(gè)人信息保護(hù)法律責(zé)任的行政責(zé)任并扇，將個(gè)人信息保護(hù)工作上升到法 律層面開(kāi)始，到《信息安全技術(shù)個(gè)人信息安全規(guī)范》等標(biāo)準(zhǔn)的出臺(tái)抡诞，以及正在規(guī)劃制作的《數(shù)據(jù)安全法》 和 2019 國(guó)家網(wǎng)信辦發(fā)布的《個(gè)人信息出境安全評(píng)估辦法（征求意見(jiàn)稿）》穷蛹，我國(guó)的個(gè)人隱私保護(hù)法律 體系正在逐漸成型。

韓國(guó)加密貨幣交易所萬(wàn)美元以太幣被竊

2019 年 11 月?lián)?guó)外媒體報(bào)道昼汗，韓國(guó)一家加密貨幣交易所被盜走了價(jià)值約 5000 萬(wàn)美元的以太幣肴熏，
34.2 萬(wàn)枚以太幣 (Ether) 被發(fā)送到一個(gè)身份不明的加密貨幣錢(qián)包。被害者 Upbit 是韓國(guó)最大加密貨幣交 易所之一顷窒。Upbit 披露了這個(gè)加密貨幣錢(qián)包的地址蛙吏，并將此事上報(bào)給了韓國(guó)有關(guān)部門(mén)，監(jiān)管部門(mén)正在調(diào) 查此事鞋吉。
事件點(diǎn)評(píng)：
2019 年發(fā)生了 12 件重大的加密貨幣交易所黑客事件鸦做。其中有 11 件導(dǎo)致加密貨幣被盜，總計(jì)盜竊 了價(jià)值 292,665,886 美元的加密貨幣谓着，僅有 1 件涉及竊取交易所用戶數(shù)據(jù)信息馁龟。據(jù)慢霧區(qū)塊鏈被黑檔 案庫(kù) (SlowMist Hacked) 數(shù)據(jù)統(tǒng)計(jì)，在 2019 年之前已披露的加密貨幣被黑資產(chǎn)價(jià)值有 41 億美金漆魔，而 2019 年一年就有 44 億美金，增加了一倍多却音，從被黑項(xiàng)目方個(gè)數(shù)來(lái)看改抡，也增加了一倍多。2019 年對(duì)于 加密貨幣黑客來(lái)說(shuō)是瘋狂的一年系瓢。

后門(mén)植入攻擊事件

近期阿纤，杭州公安在發(fā)布的《杭州警方通報(bào)打擊涉網(wǎng)違法犯罪暨“凈網(wǎng)行動(dòng) 2019”專(zhuān)項(xiàng)行動(dòng)戰(zhàn)果》 中提到， 2016 年發(fā)布的 phpStudy 版本被不法分子惡意植入后門(mén)夷陋，犯罪嫌疑人在 2019 年初被公安機(jī)關(guān) 抓獲欠拾。其利用植入的后門(mén)非法控制計(jì)算機(jī) 67 萬(wàn)余臺(tái)胰锌，非法獲取賬號(hào)密碼類(lèi)、聊天數(shù)據(jù)類(lèi)藐窄、設(shè)備碼類(lèi)等
數(shù)據(jù) 10 萬(wàn)余組资昧。
鏈接： 事件點(diǎn)評(píng)：
phpStudy 后門(mén)事件是一次典型的軟件供應(yīng)鏈攻擊事件，攻擊者利用用戶對(duì)廠商的信任荆忍，在軟件安 裝包中植入惡意代碼格带，通過(guò)軟件的大量安裝部署實(shí)現(xiàn)非法控制計(jì)算機(jī)并獲取用戶敏感數(shù)據(jù)。針對(duì)供應(yīng)鏈 攻擊刹枉，企業(yè)應(yīng)建立完善的監(jiān)管體制叽唱，由專(zhuān)業(yè)人員負(fù)責(zé)軟件的準(zhǔn)入和更新，確保信息系統(tǒng)運(yùn)行的軟件安全 可靠微宝。軟件供應(yīng)商則需要建立安全可信的開(kāi)發(fā)環(huán)境和發(fā)布渠道棺亭，避免軟件被惡意篡改。

微軟停止為提供支持

微軟發(fā)布公告宣稱(chēng)：在 2009 年 10 月 22 日發(fā)布 Windows 7 時(shí)蟋软，Microsoft 承諾為其提供為期 10 年的產(chǎn)品支持镶摘。為期 10 年的期限即將結(jié)束，Microsoft 將停止為 Windows 7 提供支持钟鸵，以便將精力專(zhuān) 注于支持較新的技術(shù)和出色的新體驗(yàn)钉稍。對(duì) Windows 7 的終止支持具體日期為 2020 年 1 月 14 日。我們 不再為該產(chǎn)品提供技術(shù)幫助和 Windows 更新中有助于保護(hù)電腦的軟件更新棺耍。Microsoft 強(qiáng)烈建議你升級(jí) 到 Windows 10贡未，以避免無(wú)法獲得所需的服務(wù)或支持。
鏈接：https://support.microsoft.com/zh-cn/help/4057281/windows-7-support-ended-on-january-14-2020 事件點(diǎn)評(píng)：
根據(jù)市場(chǎng)調(diào)查機(jī)構(gòu) Netmarketshare 2019 年 12 月的市場(chǎng)份額數(shù)據(jù)顯示蒙袍，雖然越來(lái)越多的用戶正切 換至 Windows 10 系統(tǒng)俊卤，但是 Windows 7 仍占有 26.64% 的市場(chǎng)份額，位居第二害幅。
停止支持意味著如果 Windows 7 系統(tǒng)爆發(fā)高危漏洞消恍，這 26.64% 的 Windows7 系統(tǒng)將面臨“裸奔” 的局面。Windows 7 系統(tǒng)用戶應(yīng)及時(shí)做好準(zhǔn)備以现，全力應(yīng)對(duì)系統(tǒng)停服后帶來(lái)的安全問(wèn)題狠怨，及時(shí)升級(jí)系統(tǒng)到 Windows10。

典型安全事件專(zhuān)題

典型安全事件專(zhuān)題 [圖片上傳失敗...(image-258cfe-1668125400440)][圖片上傳失敗...(image-cd8323-1668125400440)][圖片上傳失敗...(image-52e337-1668125400440)][圖片上傳失敗...(image-2baf31-1668125400440)]

勒索病毒應(yīng)急案例

背景介紹

某企業(yè) WEB服務(wù)器感染勒索病毒邑遏，文件后綴均被修改為 yzzzfiactn佣赖，根據(jù)勒索信息文件 （YZZZFIACTN-MANUAL.txt）判斷為最新的 GandCrab V5.2 勒索病毒，該版本目前尚無(wú)公開(kāi)的解密秘 鑰及程序记盒，同時(shí)在主機(jī)中還發(fā)現(xiàn)存在多個(gè)可疑惡意程序文件憎蛤。

處置過(guò)程

1、 勒索病毒分析
根據(jù)勒索信息文件（YZZZFIACTN-MANUAL.txt），可判斷此次感染勒索病毒為 GandCrab V5.2俩檬。
圖 5.1 加密后綴及勒索提示文件截圖
目前該版本勒索病毒尚無(wú)公開(kāi)解密秘鑰萎胰，攻擊者提供了其暗網(wǎng)解密域名：http://gandcrabmfe6mnef. onion/7694aee9c4049e1a，訪問(wèn)時(shí)需要提交勒索信息相關(guān)文件（*-DECRYPT.txt棚辽、*-MANUAL.txt）進(jìn)行 身份認(rèn)證技竟。
圖 5.2 暗網(wǎng)解密域名
勒索頁(yè)面中包含了勒索金額及付款方式。
圖 5.3 暗網(wǎng)勒索頁(yè)面
2晚胡、 其他惡意程序分析
在感染主機(jī)上發(fā)現(xiàn)了多個(gè)可疑后門(mén)程序灵奖，包括 exe、dll估盘、vbs 等多個(gè)文件類(lèi)型瓷患。其中 4xFEFFEF.exe 文件所在路徑為：C:\u4fd6\1113bh9c7c54dgat920，創(chuàng)建時(shí)間為：2018 年 5 月 19 日遣妥，運(yùn)行時(shí)提示缺 少 DLL文件 qbcore.dll擅编。
圖 5.4 運(yùn)行時(shí)提示錯(cuò)誤
且該程序通過(guò)注冊(cè)表實(shí)現(xiàn)自啟動(dòng)，對(duì)應(yīng)注冊(cè)表鍵值為：HKEY_LOCAL_MACHINE\SOFTWARE\ Wow6432Node\Microsoft\Windows\CurrentVersion\Run\Serhiez-1419798062箫踩。
圖 5.5 自啟動(dòng)注冊(cè)表鍵值 通過(guò)文件版本信息爱态，確認(rèn)該文件為騰訊瀏覽器服務(wù)組件，原文件名為 qbclient.exe境钟。
圖 5.6 文件版本信息 且該文件具有騰訊有效的數(shù)字簽名锦担，判斷該文件可能被用于加載其他惡意 DLL文件。
圖 5.7 數(shù)字簽名信息
此外用于 DLL劫持的 lpk.dll文件慨削，經(jīng)分析確認(rèn)為早期下載者程序后門(mén)（Trojan.Downloader）洞渔，其 中涉及的下載鏈接包括：
http://www.game918.me:2545/host.exe，保存為：C:\Windows\scvhost.exe缚态。 http://www.82022333.cn:8065/im.exe磁椒，保存為：C:\Windows\fillworm.exe。 但目前上述域名均已無(wú)法解析玫芦，無(wú)法對(duì)其下載的惡意程序做進(jìn)一步分析浆熔。
圖 5.8 惡意域名
同時(shí)在 Windows 目錄下存在多個(gè)隨機(jī)命名的 vbs 文件，文件創(chuàng)建時(shí)間均為 2018 年 7 月桥帆，進(jìn)過(guò)分析医增， 確認(rèn)均為下載者后門(mén)腳本，涉及的下載鏈接包括：http://mryang.f3322.org:8080/js.exe老虫，http://www. game918.me:2545/host.exe叶骨，其中 www.game918.me 與上述 lpk.dll中指向下載域名一致，判斷為同一 攻擊者所為张遭。
圖 5.9 惡意腳本
綜上，通過(guò)對(duì)提取的多個(gè)后門(mén)程序進(jìn)行分析地梨，未發(fā)現(xiàn)勒索病毒相關(guān)特征菊卷，并且時(shí)間久遠(yuǎn)缔恳，由此判斷 與此次勒索病毒事件無(wú)關(guān)。
3洁闰、 勒索病毒感染溯源
從勒索信息文件時(shí)間判斷歉甚，系統(tǒng)最早感染時(shí)間為：2019 年 4 月 28 日，3:45:40扑眉。
圖 5.10 勒索感染開(kāi)始時(shí)間判斷 系統(tǒng)最后感染時(shí)間為：2019 年 4 月 28 日纸泄，6:04:55。
圖 5.11 勒索加密結(jié)束時(shí)間判斷 通過(guò)系統(tǒng) RDP日志腰素，判斷感染發(fā)現(xiàn)時(shí)間為：2019/4/28 9:38:12聘裁。
圖 5.12 勒索發(fā)現(xiàn)時(shí)間判斷
通過(guò)對(duì) 2019/4/28 的系統(tǒng)登錄記錄進(jìn)行分析，未發(fā)現(xiàn)相關(guān)異常登錄弓千，由此排除攻擊者通過(guò)遠(yuǎn)程桌面 （RDP）途徑植入病毒程序衡便。
涉及的 WEB應(yīng)用包括 WebLogic 及 Tomcat，由于相關(guān)配置文件均已被加密洋访，目前已無(wú)法正常啟動(dòng)镣陕。
圖 5.13 被加密 WEB應(yīng)用
通過(guò)對(duì) Tomcat 應(yīng)用目錄及相關(guān)日志進(jìn)行排查，未發(fā)現(xiàn)相關(guān)后門(mén)痕跡姻政，排除攻擊者通過(guò) Tomcat 入 侵的可能性呆抑。
對(duì) WebLogic 應(yīng)用目錄進(jìn)行排查時(shí)，發(fā)現(xiàn)存在多個(gè) webshell 后門(mén)程序汁展，對(duì)應(yīng)目錄包括：
文件創(chuàng)建時(shí)間從 2019 年 4 月 25 日到 2019 年 4 月 28 日鹊碍，其中未被加密的后門(mén)文件 yayshell.jsp 創(chuàng) 建時(shí)間為 2019 年 4 月 28 日 4:04。
圖 5.14 發(fā)現(xiàn) webshell
經(jīng)過(guò)分析驗(yàn)證善镰，主機(jī)上安裝的 WebLogic 10.3.3 版本妹萨，存在 WebLogic wls9_async_response 反序 列化命令執(zhí)行漏洞（CVE-2019-2725 ），攻擊者據(jù)此可執(zhí)行系統(tǒng)命令炫欺，并植入上述 webshell 后門(mén)程序乎完。
此外，還在 WebLogic 用戶應(yīng)用部署目錄（_WL_user）中品洛，發(fā)現(xiàn)存在多個(gè) WEB后門(mén)應(yīng)用树姨，結(jié)合 后門(mén)文件所在路徑，判斷為通過(guò) WebLogic 控制臺(tái) (console) 植入桥状，但涉及的 WEB后門(mén)文件時(shí)間均為
2018 年帽揪，判斷與此次勒索病毒事件無(wú)關(guān)。
涉及的后門(mén)程序目錄包括：
圖 5.15 涉及后門(mén)程序目錄
圖 5.16 涉及后門(mén)程序目錄
圖 5.17 涉及后門(mén)程序目錄
圖 5.18 涉及后門(mén)程序目錄
同時(shí)對(duì) WebLogic 訪問(wèn)日志及運(yùn)行相關(guān)日志進(jìn)行分析辅斟，日志文件所為路徑為：D:\Oracle\ Middleware\user_projects\domains\base_domain\servers\AdminServer\logs转晰。
圖 5.19 WebLogic 日志文件
其中 access.log 保存了 2018 年 12 月至今的所有訪問(wèn)記錄，通過(guò)篩選排除，未發(fā)現(xiàn)相關(guān) WEB后門(mén) 訪問(wèn)痕跡查邢，但該日志文件并不會(huì)記錄 WebLogic 內(nèi)置應(yīng)用的訪問(wèn)記錄蔗崎，如上述 webshell 后門(mén) yayshell. jsp 所在應(yīng)用目錄（_WL_internal\bea_wls_internal），此外可判斷上述 WebLogic 用戶應(yīng)用部署目錄（_ WL_user）下的相關(guān) webshell 后門(mén)扰藕，未再有訪問(wèn)記錄缓苛。
圖 5.20 日志文件內(nèi)容
通過(guò)分析 base_domain.log 日志文件，發(fā)現(xiàn)存在多條上述 webshell 后門(mén)（yayshell.jsp）的命令執(zhí)行 記錄邓深，最早執(zhí)行命令時(shí)間為：2019-4-26 下午 11 時(shí) 17 分未桥。
圖 5.21 命令執(zhí)行記錄 最近的執(zhí)行命令時(shí)間為：2019-4-28 上午 09 時(shí) 37 分，即在發(fā)現(xiàn)主機(jī)感染病毒后芥备，攻擊者依然在通
過(guò)該后門(mén)嘗試執(zhí)行命令冬耿。
圖 5.22 命令執(zhí)行記錄
綜上，結(jié)合文件感染時(shí)間门躯、webshell 后門(mén)文件淆党、WebLogic 運(yùn)行日志進(jìn)行綜合分析，判斷攻擊者是 通過(guò) WebLogic 應(yīng)用漏洞植入 webshell 后門(mén)程序讶凉，并進(jìn)一步下載執(zhí)行了勒索病毒染乌。

參考資料

綠盟 2019年安全事件響應(yīng)觀察報(bào)告

友情鏈接

GB-T 20274.3-2008 信息安全技術(shù) 信息系統(tǒng)安全保障評(píng)估框架 第3部分：管理保障