刚刚结束一场攻防演练防守任务,正在回家路上,突然传来@我的消息。leader说有一个HW防守项目需要我去支撑一下,问我顶得住不。
客户突然收到参加攻防演练的通知,由于没有准备且首次参加,经验欠缺,几乎没做准备,于是只能一边防守一边修修补补。
前几天红队蜻蜓点水,没掀起什么大风大浪,一直也没失分。本想就这样平稳结束,但是该来的总会来的。
一天早上8点,来到值守地点,登录平台,发现昨晚内网有大量告警,主要类型为暴力破解,漏洞利用,异常连接,并且刚刚攻击IP还有动作。
立即向客户上报了这次事件,并把相关信息同步。客户很重视,立即对涉事IP进行断网操作。
经查询,是客服中心终端IP发起了这次攻击行为,于是问讯当晚值班客户相关情况,得到的反馈是,当晚有人给他传输文件:
经查看聊天记录,已确定客服被红队攻击者忽悠,点击疑似捆绑木马文件(员工缺乏安全意识教育)。
随后,我将中招终端搬走,对发送过来的疑似文件样本进行分析。
被控终端跨进程写入数据木马,通过进程注入到explorper.exe中:
TargetProcess=explorer.exe,WriteAddress=0x00007FF7579ADF00, Size = 0x0000000c
随后创建文件名为“XXXXXXX.docx”,文件路径:
C:UsersAdministratorAppDataLocal%temp%XXXXXXX.docx
ImagePath=C:ProgramFiles(x86)MicrosoftOfficeOffice15WINWORD.EXE,CmdLine="C:ProgramFiles(x86)MicrosoftOfficeOffice15WINWORD.EXE"/n "C:UsersAdministratorAppDataLocal%temp%XXXXXXX.docx"/o "
木马会删除自身exe文件,释放docx文档,随后,木马会在本地查找动态链接库、本机用户名、系统配置等信息,以及反调试:
同时,木马在本地创建定时任务,定时运行“C:userspublicupdate.exe”文件,从而维持自身权限。
https://59.xx.xx.xx/test.php 和123.xx.xx.xx:80;
对两个回连IP进行溯源,未发现有价值线索,于是转战操作系统。
在C:userspublic用户文档下发现攻击者相关痕迹:
因为处置断网及时,攻击者来不及抹去攻击痕迹,发现定制化攻击程序和内网穿透代理,一看就是专业的。
根据分析result.txt内容,攻击者已获取大量内网权限和口令,于是将内容反馈客户协调相关人员处置。
因为早上断网前还有相关通联记录,高度疑似红队攻击者使用反连IP:
发现反弹代理IP123.20.xx.xx,疑似攻击者线索。
同时通过相关平台查看获得多个红队使用IP相关日志,并未发现有其他资产被控。
继续得到pxxxx.ouxxxx.com域名信息,对pxxxx.ouxxxx.com进一步反查,借了个会员,查了下历史信息:
获得疑似攻击者自然人信息,包括电话、姓名、邮箱,接下来确定自然人身份和职业真实性,经过分析微博以往动态信息,分析得出:
姓名xx,四川人,天津某大学生,15年在准备高考单词,推测是15-16届学生,年龄在24-25之间,再通过社交支付渠道校验红队人员信息:
综合相关溯源信息,基本确定攻击者为某友商二线红队攻击人员。
最后,整理相关防守报告提交演习平台,报告中充分详尽的还原了攻击路径以及应对处置溯源的全过程。
本次演习,红队主要靠社工方式突破了客户组织的防线,员工安全意识淡薄,并且终端居然未安装安全防护软件(安全意识很重要,安装杀软定期更新杀毒)。
红队获取终端权限后,横向移动畅通无阻,网络安全域规划不足(划分安全域,制定访问策略)。
内网横向移动中获得大量弱口令、多个权限(杜绝弱口令,更换强壮口令,定期升级相关系统补丁,定期开展安全评估)。
原文始发于微信公众号(酒仙桥六号部队):因为社会工程学中招?我教了企业三件事 | 技术精选 0120
In fact, it is very good in those days to find topics that add to the mind, and not like other misleading sites in many cases, I hope you will continue and I will share your topic on my personal Facebook page