我们已经准备好了,你呢?

2024我们与您携手共赢,为您的企业形象保驾护航!

原来的:

目前大图推送仅针对常读、加星的公众号显示。建议大家“把潇湘新安定为明星”,不然可能看不到!

案例一

1.1.入侵报警

1、某天深夜,主机防护突然曝出CS木马后门。这支攻击队毫无武德。幸运的是,他们并没有睡着。

域名反查询_域名查询反查_域名反查网

2、赶紧叫醒旁边正在看交通设备的小伙伴,尝试Shiro逆序漏洞攻击成功。

域名查询反查_域名反查询_域名反查网

3、测试目标网站存在Shiro反序列化漏洞。

域名查询反查_域名反查网_域名反查询

1.2.船上检查

1、上电脑下载CS木马,扔到云端沙箱中运行,找到外部IP

域名反查网_域名反查询_域名查询反查

2、根据状态感知的报警时间查看日志,发现文件已上传。

3、检查电脑上的木马文件。找了半天也没找到木马文件。我把这些文件一一打开看了看。终于找到木马了,哥斯拉的jsp木马。

域名反查网_域名查询反查_域名反查询

可以看到攻击者修改了木马文件的名称和时间,试图将其伪装成普通文件。

域名查询反查_域名反查网_域名反查询

经排查发现,反弹shell及IP地址与CS外链地址一致。

域名反查网_域名查询反查_域名反查询

攻击者还下载了fscan扫描仪并进行扫描。 IP与CS外部地址一致。

域名反查询_域名查询反查_域名反查网

fscan 扫描结果

域名查询反查_域名反查询_域名反查网

1.3.可追溯性

1.根据IP查询域名

域名反查网_域名反查询_域名查询反查

2.直接访问域名,发现是个人博客

域名查询反查_域名反查询_域名反查网

我在博客文章中没有找到任何东西,但在查看好友链接时却发现了几个熟悉的ID。

我通过其中一个昵称找到了他的CSDN账号,通过CSDN的密码找回功能找到了他的手机号码。我在脉脉上搜了一下,发现他是某厂的渗透测试工程师。我通过另一个昵称询问熟人,发现他也是某工厂的员工。我们溯源的目标很有可能是公司的某个人。

域名反查询_域名反查网_域名查询反查

3、随后通过搜索域名找到了个人博客备份仓库。

域名查询反查_域名反查网_域名反查询

通过接口查询仓库同步码的邮箱地址

{ repository(name: "name",owner: "test1278"){  ref(qualifiedName: "master"){  target{  ... on Commit {  id  history(first: 5) {
edges { node { author { name email } } } } } } }}}

查询攻击者QQ号

通过API接口查询QQ号码绑定的手机号码

域名反查网_域名查询反查_域名反查询

4.通过手机号码添加钉钉好友,并查找姓名。我想通过支付宝转账猜姓氏,但目标已经关闭了支付宝搜索。

域名反查询_域名查询反查_域名反查网

我们只能发动群众在微信中搜索微信昵称,最后发现攻击者确实是某客户群中某厂的工程师。

域名查询反查_域名反查网_域名反查询

XX厂商XXX邀请攻击者加入群聊

域名查询反查_域名反查询_域名反查网

1.4.概括

域名反查网_域名反查询_域名查询反查

案例2

2.1.调查

1、在某次攻防演练中,毕某到客户现场进行内网入侵排查及溯源工作。到达现场后,笔者惊讶地发现客户唯一的安全设备就是防火墙。这种情况下,就只能依靠这个防火墙来深入排查了。

在与客户初步沟通后,他们指出了几台可能存在问题的服务器。登录这些服务器后发现所有服务都在运行。于是,笔者决定从日志文件中寻找线索。

域名反查询_域名查询反查_域名反查网

2、经过长时间细致排查,发现从凌晨0点39分开始出现大量异常扫描行为

凌晨0点40分发现命令执行漏洞被成功利用。

域名反查网_域名反查询_域名查询反查

凌晨2点02分在另一台服务器上发现Wanhu.jsp任意文件上传漏洞被成功执行。

3、日志中显示的XXX.XX.1.142是F5转换后的地址,防火墙上的真实攻击IP是XXX.XXX.X.91。

但在威胁情报平台上并未发现有效信息。

4. 在受害主机上发现FRP和fscan。 FRP远程控制服务器地址为XXX.XXX.72.91。

域名反查网_域名反查询_域名查询反查

域名反向搜索发现了一个疑似域名所有者姓名的域名,但通过搜索该域名并没有找到更多信息。

5、问题还没有结束,在另一台受害主机上找到了更多信息。 KSA.dat(看学安全访问)是一款傻瓜式一键访问私有网络的工具。

域名反查网_域名查询反查_域名反查询

KSA.log中发现更多攻击者服务器地址,包括XXX.XX.XXX.87

2.2.可追溯性

1、对XXX.XX.XXX.87进行域名反向核查,发现有备案人姓名(不,确实有人实名上网)

2、域名解析IP为XXX.XX.XXX.87,证明为攻击者所有。

域名反查询_域名查询反查_域名反查网

通过搜索引擎搜索并证明自己是一名安全从业者

网站端口80为nps提供服务

域名反查网_域名查询反查_域名反查询

3、XXX.XX.XXX.87的数字证书显示颁发者和使用者均为xxx,与备案人姓氏相同。

域名反查网_域名反查询_域名查询反查

4.搜索xxx,找到其csdn账号

域名查询反查_域名反查询_域名反查网

利用CSDN的密码找回功能破解手机号码

成功发现手机号码181****0865

并且还在gitee中找到了手机号码:181****0865、QQ等信息。

域名反查网_域名反查询_域名查询反查

5、使用百度云盘的账号找回功能,输入服务器IPXXX.XX.XXX.87。可以看到该手机号码后四位与CSDN手机号码后四位相同,可以确定属于同一个人。使用181****0865进行支付宝转账认证,也可以确认是同一人的。

域名反查询_域名反查网_域名查询反查

2.3.概括

此次应急响应的难点在于客户没有防火墙以外的安全设备。找到切入点需要花费很多时间。我只能一一阅读日志文件。找到入口点后,我锁定受害主机并寻找入侵痕迹。从反代软件日志中找到外部服务器IP,从IP数字证书中找到用户常用的昵称,通过搜索找到CSDN账号,通过爆破获得手机号码,域名filer锁定了真实姓名,经反向验证为同一人。可惜没有找到明确的单位。

域名查询反查_域名反查网_域名反查询

黑与白发表、转载的文章所涉及的技术、想法和工具仅用于出于安全目的的学习和交流。任何人不得将其用于非法目的或营利目的,否则后果自负!

如有侵权请私信,我们将删除文章。

结尾

二维码
扫一扫在手机端查看

本文链接:https://by928.com/7006.html     转载请注明出处和本文链接!请遵守 《网站协议》
我们凭借多年的网站建设经验,坚持以“帮助中小企业实现网络营销化”为宗旨,累计为4000多家客户提供品质建站服务,得到了客户的一致好评。如果您有网站建设、网站改版、域名注册、主机空间、手机网站建设、网站备案等方面的需求,请立即点击咨询我们或拨打咨询热线: 13761152229,我们会详细为你一一解答你心中的疑难。

项目经理在线

我们已经准备好了,你呢?

2020我们与您携手共赢,为您的企业形象保驾护航!

在线客服
联系方式

热线电话

13761152229

上班时间

周一到周五

公司电话

二维码
微信
线