應(yīng)急響應(yīng)或者技術(shù)人員的方法論
在敘述本次應(yīng)急響應(yīng)前,先把方法論的前因后果講解一下瓢捉,以便可以帶著方法論進(jìn)入問(wèn)題處置的過(guò)程频丘,這樣體會(huì)可能會(huì)更好一點(diǎn),以便可以幫助到正在提升的我們泡态。
因?yàn)榧夹g(shù)人員不能只關(guān)注技術(shù)搂漠,對(duì)于客戶來(lái)說(shuō)世界上只有兩種人有價(jià)值,一種是能夠做事的人某弦,一種是能夠解決問(wèn)題的人桐汤,或者兩種形態(tài)于一身的人(很少)而克。畢竟系關(guān)、項(xiàng)目很復(fù)雜怔毛,客戶/銷(xiāo)售想要的可能不是最想的员萍。那么有能力解決問(wèn)題的人就能夠在出現(xiàn)問(wèn)題的時(shí)候創(chuàng)造出價(jià)值,從而創(chuàng)造渺小的介入機(jī)會(huì)拣度。
例如我的起點(diǎn)比較低碎绎,只能從最低點(diǎn)開(kāi)始往上爬,做過(guò)IDC機(jī)房/單位駐場(chǎng)蜡娶,分保混卵、系統(tǒng)集成、等保窖张、項(xiàng)目經(jīng)理幕随、售前、銷(xiāo)售(以技術(shù)為驅(qū)動(dòng)落地過(guò)兩個(gè)100+的項(xiàng)目宿接,所以一定要相信自己赘淮,技術(shù)真的可以給公司帶來(lái)價(jià)值,而不是只能體現(xiàn)公司價(jià)值睦霎,這取決于我們?cè)撛趺窗l(fā)揮主觀能動(dòng)性的去做)梢卸,現(xiàn)在正在做應(yīng)急、正在學(xué)滲透副女。這一路真不容易蛤高,機(jī)會(huì)也少,很多都是可愛(ài)的人愿意相信我愿意給我嘗試的機(jī)會(huì)碑幅,我才有涉及的可能戴陡,無(wú)數(shù)次迷茫,但都被下面這個(gè)方法論給糾正過(guò)來(lái)沟涨,否則就會(huì)是一顆不頂用的螺絲釘恤批。(做的雜,但是很開(kāi)心裹赴,因?yàn)槲抑狼懊鏇](méi)有吃的苦喜庞,只要我想做,那么這些苦都是必須得還回來(lái)的棋返,希望還未入門(mén)的你可以少走彎路延都,出社會(huì)即可做自己想做的事,不需要像我這樣繞很多路)
因此我深刻體會(huì)有一個(gè)觀點(diǎn)或者方法論非常重要睛竣,那就是“任何節(jié)點(diǎn)千萬(wàn)不要卡在自己這窄潭,一定要往前推進(jìn),想盡辦法往前推進(jìn),如果不行嫉你,那你也是盡力了”月帝,適用于學(xué)習(xí)、售前幽污、售后嚷辅。項(xiàng)目推進(jìn)不能卡在銷(xiāo)售自己,項(xiàng)目管理實(shí)施進(jìn)度不能卡在項(xiàng)目經(jīng)理等等距误,一旦卡住簸搞,責(zé)任必在自己,因?yàn)槟鞘亲约旱穆氊?zé)准潭。
那么如何套用在應(yīng)急響應(yīng)上趁俊,例如客戶單位發(fā)生了安全事件(例如勒索病毒、掛標(biāo)語(yǔ)這種緊急的突發(fā)情況)刑然,客戶現(xiàn)場(chǎng):
1.目標(biāo)主機(jī)一定會(huì)有日志嗎寺擂?
2.日志被刪了一定有第三方異機(jī)備份嗎?
3.沒(méi)有第三方異機(jī)備份就一定會(huì)有流量回溯嗎泼掠?
這種情況肯定存在而且非常常見(jiàn)怔软,不可能萬(wàn)事俱備事事如意,不然我們?cè)趺磩?chuàng)造價(jià)值择镇,那么遇到這種情況該怎么應(yīng)急響應(yīng)挡逼?一番技術(shù)操作后和客戶說(shuō)“因?yàn)闅埩艉圹E較少,無(wú)法進(jìn)行攻擊溯源腻豌,類(lèi)似于新冠家坎,沒(méi)有掃安康碼留下痕跡,就無(wú)法追蹤到0號(hào)病人”嗎吝梅?
是的虱疏,可以說(shuō),客戶一般也認(rèn)可(我以前就這么干憔涉,深感不足),因?yàn)槭聦?shí)如此析苫,巧婦難為無(wú)米之炊兜叨。
但是客戶單位的業(yè)務(wù)系統(tǒng)就得帶著高危漏洞暴露在互聯(lián)網(wǎng):
1.客戶領(lǐng)導(dǎo)會(huì)怎么想?
2.服務(wù)單位的銷(xiāo)售會(huì)有什么樣的擔(dān)心衩侥?會(huì)怎么想這名技術(shù)国旷,作為技術(shù)被銷(xiāo)售這么想該怎么辦?
3.作為想創(chuàng)造機(jī)會(huì)的安服公司銷(xiāo)售正在想什么茫死?
那肯定想著是怎么拿下這個(gè)單位跪但?系關(guān)拼不過(guò)、產(chǎn)品價(jià)格談不下來(lái)峦萎,...屡久,靠什么呢忆首,靠的就是這種你搞不定我可以搞定的機(jī)會(huì)。機(jī)會(huì)從哪來(lái)被环?機(jī)會(huì)源于咱們技術(shù)人員糙及,這就是技術(shù)可以創(chuàng)造價(jià)值的能力。那這種情況該怎么帶著方法論進(jìn)入到這個(gè)安全事件應(yīng)急響應(yīng)過(guò)程中呢:
“任何節(jié)點(diǎn)千萬(wàn)不要卡在自己這筛欢,一定要往前推進(jìn)浸锨,想盡辦法往前推進(jìn),如果不行版姑,那你也是盡力了”
情況概述
2021年12月12日18:57:30客戶單位對(duì)互聯(lián)網(wǎng)開(kāi)放的致遠(yuǎn)OA被入侵柱搜,文件被加密,后綴為.locked剥险。收到相關(guān)通知后隨即進(jìn)場(chǎng)應(yīng)急聪蘸。
搜索了一下這個(gè)后綴,大部分的結(jié)果都是這個(gè)病毒都是通過(guò)smb縱橫傳播的炒嘲。目標(biāo)主機(jī)已禁用網(wǎng)卡斷網(wǎng)處置宇姚。
入侵檢查
指定時(shí)間范圍內(nèi)被修改的對(duì)象
按照以前文章種敘述的方法,根據(jù)案發(fā)時(shí)間夫凸,使用dm:20211212查找了exe浑劳、jsp等關(guān)鍵字,在exe關(guān)鍵字中發(fā)現(xiàn)異常:
常規(guī)檢查
根據(jù)案發(fā)時(shí)間查找痕跡再無(wú)有用信息夭拌,因此常規(guī)檢查了操作系統(tǒng)魔熏。由于工作量大,使用之前文章中的工具進(jìn)行自動(dòng)化收集鸽扁。同樣未發(fā)現(xiàn)異常蒜绽,勒索程序并未運(yùn)行。
檢查可攻擊范圍
由于可用信息較少桶现,因此反向思維推理:
1.從內(nèi)網(wǎng)橫向滲透的可能性:由于僅一臺(tái)主機(jī)被勒索躲雅,因此排除該可能性。
2.從互聯(lián)網(wǎng)縱向滲透:排查互聯(lián)網(wǎng)網(wǎng)關(guān)骡和,發(fā)現(xiàn)僅映射業(yè)務(wù)端口相赁,因此排除操作系統(tǒng)層面被入侵的可能性。
3.因此將檢查重點(diǎn)放在應(yīng)用系統(tǒng)上慰于。
檢查攻擊痕跡
沒(méi)找到钮科,后來(lái)才發(fā)現(xiàn)是致遠(yuǎn)自己寫(xiě)的java程序,加載的也不是tomcat的配置文件婆赠,沒(méi)有產(chǎn)生日志即不會(huì)被第三方異機(jī)備份绵脯。同時(shí)也沒(méi)有流量回溯設(shè)備。
安全設(shè)備的檢查概述
安全設(shè)備中只能看到誰(shuí)攻擊了,但是看不出來(lái)誰(shuí)利用哪個(gè)漏洞進(jìn)來(lái)的蛆挫。因?yàn)楹诳凸舫晒α嗽叱校馕吨诳屠@過(guò)了特征庫(kù),即不會(huì)匹配規(guī)則和匹配規(guī)則中的記錄日志功能璃吧。
但是在檢查APT過(guò)程中發(fā)現(xiàn)了異樣(安恒還是牛滴呀):
到這里即會(huì)發(fā)現(xiàn)楣导,除了一個(gè)惡意文件,啥也沒(méi)有發(fā)現(xiàn)畜挨,該怎么兌現(xiàn)這個(gè)方法論筒繁?
“任何節(jié)點(diǎn)千萬(wàn)不要卡在自己這,一定要往前推進(jìn)巴元,想盡辦法往前推進(jìn)毡咏,如果不行,那你也是盡力了”
轉(zhuǎn)折點(diǎn)-站在攻擊者的角度
同時(shí)也算響應(yīng)了"一切積累都是為了應(yīng)對(duì)此類(lèi)情況"這句話逮刨。
在以往可能受限于能力呕缭,可能就收?qǐng)隽耍乾F(xiàn)在不一樣了修己,我會(huì)信息收集了恢总。
根據(jù)關(guān)鍵字進(jìn)行搜索。
根據(jù)信息收集的結(jié)果進(jìn)行測(cè)試睬愤,發(fā)現(xiàn)存在漏洞片仿。
ps:其實(shí)哪有這么順利,版本漏洞這塊翻遍了搜索引擎:
致遠(yuǎn)-OA-A8-htmlofficeservlet-getshell-漏洞
致遠(yuǎn)OA-A6-search_result.jsp-sql注入漏洞
致遠(yuǎn)OA-A6-setextno.jsp-sql注入漏洞
致遠(yuǎn)OA-A6-test.jsp-sql注入漏洞
致遠(yuǎn)OA-A6-敏感信息泄露一-
致遠(yuǎn)OA-A6-敏感信息泄露二-
致遠(yuǎn)OA-A6-重置數(shù)據(jù)庫(kù)賬號(hào)密碼漏洞
致遠(yuǎn)OA-A8-m-后臺(tái)萬(wàn)能密碼
致遠(yuǎn)OA-A8-m-存在sql語(yǔ)句頁(yè)面回顯功能
致遠(yuǎn)OA-A8-v5-任意用戶密碼修改
致遠(yuǎn)OA-A8-v5-無(wú)視驗(yàn)證碼撞庫(kù)
致遠(yuǎn)OA-A8-任意用戶密碼修改漏洞
致遠(yuǎn)OA-A8-未授權(quán)訪問(wèn)
致遠(yuǎn)OA-A8-系統(tǒng)遠(yuǎn)程命令執(zhí)行漏洞
致遠(yuǎn)OA-Session泄漏漏洞
致遠(yuǎn)OA-帆軟報(bào)表組件-前臺(tái)XXE漏洞
致遠(yuǎn)OA-ajax.d前臺(tái)未授權(quán)任意文件上傳
致遠(yuǎn)OA系統(tǒng)多版本Getshell漏洞復(fù)現(xiàn)
沉住心尤辱,總結(jié)建議該怎么寫(xiě)
因?yàn)椴⒉灰欢ㄊ峭ㄟ^(guò)這個(gè)洞進(jìn)去的砂豌,也有可能是通過(guò)其他沒(méi)有公開(kāi)但是已在野利用的,因?yàn)榉?wù)器上并沒(méi)有痕跡為此做支撐光督,因此需要建議客戶:
1.開(kāi)啟訪問(wèn)日志記錄阳距,例如這個(gè)洞需要用到的URI就是漏洞指紋,雖然看不到POST數(shù)據(jù)结借,但是訪問(wèn)日志中會(huì)留下痕跡筐摘;
2.檢查補(bǔ)丁安裝情況,沒(méi)有公開(kāi)但是在野利用的船老,廠商肯定清楚咖熟;
3.禁止服務(wù)器訪問(wèn)互聯(lián)網(wǎng),例如這個(gè)漏洞的利用就涉及目標(biāo)主機(jī)是否可以主動(dòng)外聯(lián)努隙。
萬(wàn)變不離其宗
場(chǎng)景球恤、事件就和人類(lèi)指紋類(lèi)似辜昵,不可能一樣荸镊,那么如何應(yīng)對(duì)不同場(chǎng)景的突發(fā)事件,唯有整理出適用于自己的一套方法論作為基礎(chǔ)支撐才是最適用的。
IOC
45.76.99.222
8abaa521a014cdbda2afe77042f21947b147197d274bf801de2df55b1e01c904
