0x00、前言
一次恶意扫描触发的告警,溯源排查攻击源IP,简单记一下这次的溯源排查流程。
0x01、告警
可以看是同一时间的告警,受害IP为该C段下的三台业务服务器,触发的三条告警,可直接判断为恶意扫描。
查看攻击流量http报文,可看到phpstudy的后门利用payload,排除误报。
0x02、溯源排查
针对攻击源IP,进行常规溯源流程(威胁情报、域名反查、IP端口开放情况、可利用的漏洞等)
攻击源IP情况:
直接丢ti、微步、360威胁情报同理,取有用信息。
攻击源ip:绵阳阿里云
有用信息就只有反查域名,注册过m.xxx.cn,还有一些其他域名,查了没啥有用的。
查看m.xxx.cn域名信息,该域名为一家装饰公司备案的,也有备案号。
同时ping该域名也是正常解析到攻击源IP上的,说明当前域名与攻击IP是绑定匹配的,时效期内。
同时威胁情报也能看到对应开放的端口,但大部分时效性不强,可以结合fofa查看或者自己扫描攻击源IP开放的端口。
扫描查看到攻击源IP开放了80、3389、8085等端口。
访问web页面,访问跳转/index2.php页面,标题为屠龙之怒,与该公司名称xx装饰集团四川有限公司业务不符,疑为该公司网站被挂黑链,服务器被当作跳板对外发出恶意扫描。
攻击源IP简述:
1、绵阳阿里云服务器
2、注册域名为m.xxx.cn,为某装修公司,域名与IP绑定匹配。
3、web应用跳转游戏,疑似被挂黑页,疑为肉鸡。
攻击源IP反制:
一来就看游戏入口去了,一个游戏页面,简单抓了包
存在用户,但没啥关系,存在sql注入,查看了库,只有test库(/不对劲,交互连接的库名不是这个),但不能查询内容。
–os-shell一把嗦。
权限不够,权限不足,–file-read啥的也是没权限直接过。
于此同时目录也早扫完了,查看了一下,看到早就已经被挂了马了,肉鸡没跑了。
查看了下漏扫结果,存在phpstudy后门,才反应过来本来就是肉鸡,一个劲对外扫phpstudy后门,黑页的游戏也是phpstudy部署的,本身就有后门
顺其自然通过Phpstudy后门写文件获取shell
手工直接请求头添加下面payload即可,同时删除原本的Accept-Encoding改成下面的,//开始忘删了导致没生效,蠢死。
Accept-Encoding: gzip,deflate |
攻击源IP服务器分析:
其中查看数据发现系统存在可见内最早的webshell为2019-10-15日,文件名为test.php(不确定是否为文件真正上传建立的日期)
以及2022-10-10 01:28创建的webshell,文件名称为phpshell.php,同时期上传的cs马
但该攻击者未进行其他的相关操作,仅获取服务器权限后看了一下,未发现其他操作。
于此同时,发现被添加的影子账户loxxxxo$,并且在这个影子账户的桌面上传了phpstudy的批量扫描后门利用工具,以及一些扫描记录和扫描的目标网段
通过创建影子账户登录服务器,本身就开了3389,就不用再开启端口了
net user xxx /add //添加管理员账户 |
利用工具的一些扫描记录
同时该影子用户还上传了一些黑灰产软件,运行挂起获取收益
一个月内获得的积分收益
攻击源IP loxxxxo影子用户分析:
通过查看服务器端口连接情况发现与该服务器3389远程连接有一个IP 175.xxx.xxx.138(上海 腾讯云),极大可能也为肉鸡。
同时查看当前服务器在线用户,该影子用户loxxxxo$处于连接在线状态,也就是说上述的175.xxx.xxx.138的腾讯云服务器即为该影子用户的远程连接主机。
通过信息查看loxxxxo$用户创建时间为2022年9月20日(不排除为后续修改密码后的时间)(因此说明10号上传的webshell的攻击者与该用户不为同一人)。
简述该用户信息:
1、影子用户:loxxxxo$
2、远程连接主机:175.xxx.xxx.138(上海 腾讯云)
3、9月20日甚至更早入侵该攻击源IP并作为跳板对外扫描Phpstudy后门,同时利用入侵主机部署黑灰产软件获益。
4、其中一个黑灰产软件使用的他的会员号:AG-xxx
后续思路:
1、针对175.xxx.xxx.138攻击主机,简单看了一下,开了80端口 但没什么应用部署,也没查到相关威胁情报信息,极大可能也为跳板机。
2、针对黑灰产软件上的会员号信息,涉及到网站jingxxx.taxxx.com,意思得获取这个网站权限在查相关用户信息,工作量较大,仅思考了下。
总结事件线:
该源IP被很早入侵并使用phpstudy部署了几套web游戏系统——>真实攻击者持有IP175.xx.xx.138通过phpstudy后门扫到该服务器存在后门,并通过后门获取服务器权限,同时创建了影子账户loxxxxo$——>该用户上传黑灰产软件运行挂机收益,同时定期使用Phpstudy批量扫描工具对全网扫描——>10月10日凌晨扫描至单位业务系统服务器触发告警。
0x03、总结
本次溯源并未实际溯源到真实用户,排查过程也很仓储,也没去找最开始的入侵痕迹,简单排查告警触发后的溯源分析过程,了解攻击者的入侵思路和入侵意图,再进一步的话可能从后续思路再入手,但可能短时间获取不到有用信息,就先这样记录下吧。