0×1 事件描述
小Z所在公司的信息安全建設(shè)還處于初期階段��,而且只有小Z新來(lái)的一個(gè)信息安全工程師�,所以常常會(huì)碰到一些疑難問(wèn)題。一天��,小Z接到運(yùn)維同事的反映,一臺(tái)tomcat 的web服務(wù)器雖然安裝了殺軟����,但是還是三天兩頭會(huì)出現(xiàn)殺軟病毒報(bào)警,希望他能查下原因��。
小Z首先設(shè)想了三種可能性:
1.存在系統(tǒng)漏洞
2.由于前期運(yùn)維在服務(wù)器上裝了一些工具軟件��,會(huì)不會(huì)工具軟件引入的病毒
3.應(yīng)用層漏洞��。
于是�����,他從這三方面開(kāi)始了調(diào)查��。
首先���,小Z用更新庫(kù)的漏掃對(duì)系統(tǒng)層面的漏洞檢測(cè)�,未發(fā)現(xiàn)任何異常�;由于會(huì)有開(kāi)發(fā)連接進(jìn)這臺(tái)服務(wù)器,他去開(kāi)發(fā)那里收集工具軟件進(jìn)行查毒處理��,也沒(méi)發(fā)現(xiàn)異常����,排除通過(guò)軟件帶入病毒的可能;那難道是通過(guò)應(yīng)用層漏洞進(jìn)來(lái)的���?因?yàn)橄到y(tǒng)上線(xiàn)前都會(huì)經(jīng)過(guò)web滲透測(cè)試����,文件上傳����,SQL注入等常規(guī)漏洞已經(jīng)修復(fù),雖然這樣���,小Z還是重新驗(yàn)證了一遍漏洞�,沒(méi)有問(wèn)題�,又用D盾webshell檢測(cè)工具進(jìn)行了掃面,未發(fā)現(xiàn)任何webshell����。
那病毒是怎么產(chǎn)生的?
0×2 溯源準(zhǔn)備
由于病毒無(wú)法清干凈�,也不清楚黑客是已經(jīng)在機(jī)器上做了哪些手腳,業(yè)務(wù)方要求小Z重新搭建一個(gè)干凈的環(huán)境�����,給系統(tǒng)打好最新的補(bǔ)丁,交給開(kāi)發(fā)重新放入生產(chǎn)�����。由于前期沒(méi)有在主機(jī)端做日志收集類(lèi)工具���,缺乏主機(jī)端的攻擊溯源手段��,小Z臨時(shí)搭建了splunk日志分析系統(tǒng)���,并在新搭建的服務(wù)器上安裝了sysmon日志收集工具,對(duì)主機(jī)層面進(jìn)行了日志收集��。過(guò)了一星期左右���,小Z發(fā)現(xiàn)系統(tǒng)進(jìn)程里面居然多了個(gè)叫wcmoye的進(jìn)程�,憑感覺(jué)這不是個(gè)正常程序�����,那就先從這個(gè)程序開(kāi)始入手調(diào)查吧�����。
0×3 常規(guī)排查
常規(guī)排查還是采用了微軟經(jīng)典系統(tǒng)工具systeminternals套件��,分別對(duì)啟動(dòng)項(xiàng)��,系統(tǒng)進(jìn)程��,網(wǎng)絡(luò)連接等簡(jiǎn)單做了排查��。
啟動(dòng)項(xiàng)除了services這一項(xiàng)發(fā)現(xiàn)了一個(gè)奇怪的StuvwxAbcdefg Jkl�����,其他沒(méi)有特別值得注意的地方�����。
進(jìn)程排查就是那個(gè)叫wcmoye.exe的進(jìn)程
進(jìn)程依賴(lài)于StuvwxAbcdefgh Jkl這個(gè)服務(wù)
網(wǎng)絡(luò)通信:用tcpview觀(guān)察wcmoye.exe會(huì)不定時(shí)連接一公網(wǎng)ip的9999端口
同時(shí)會(huì)有一些注冊(cè)表及文件系統(tǒng)上的行為��,確定wcmoye躲在C:\windows\syswow64目錄下
初步排查得出的結(jié)論是:wcmoye進(jìn)程依賴(lài)于名叫Stuvwx Abcdefg Jkl系統(tǒng)服務(wù)����,去syn鏈接公網(wǎng)ip的9999端口,是個(gè)木馬程序�����。
在對(duì)wcmoye有了一定認(rèn)識(shí)之后,小Z想它是從哪里來(lái)的����,這時(shí),小Z之前搭建的日志分析系統(tǒng)派上了用場(chǎng)����。
0×4 日志排查
這個(gè)問(wèn)題得從wcmoye.exe在系統(tǒng)中產(chǎn)生的第一時(shí)間著手調(diào)查。于是打開(kāi)splunk開(kāi)始搜索:通過(guò) wcmoye關(guān)鍵字的搜索�����,發(fā)現(xiàn)6月6日20:24發(fā)生如下可疑事件:
20:24:11 Tomcat目錄下有一個(gè)叫NewRat的可執(zhí)行文件生成wcmoye.exe��,原來(lái)wcmoye是有一個(gè)叫NewRat的可執(zhí)行文件生成的���,但是回到Tomcat目錄下查看����,并沒(méi)有發(fā)現(xiàn)NewRat.exe這個(gè)文件.
不急�,進(jìn)一步搜索NewRat,小Z發(fā)現(xiàn)了更大的信息量:在wcmoye被創(chuàng)建的前一秒 20:24:10��,tomcat7.exe去調(diào)用cmd.exe執(zhí)行了一段比較長(zhǎng)的腳本,
隨著時(shí)序跟蹤事件的發(fā)展����,發(fā)現(xiàn)在20:24:12 調(diào)用cmd.exe刪除了NewRat.exe
同時(shí)還觀(guān)察到services.exe的執(zhí)行,系統(tǒng)服務(wù)創(chuàng)建
關(guān)注sysmon的EventCode 3 ����,wcmoye的進(jìn)程會(huì)與下載NewRat的那個(gè)公網(wǎng)ip的9999端口有通信日志��,
其實(shí)到這里��,wcmoye是從哪里進(jìn)來(lái)的已經(jīng)基本搞清楚了����,接下來(lái)的問(wèn)題就是為什么會(huì)進(jìn)來(lái)?Tomcat為什么去執(zhí)行這些惡意命令��?現(xiàn)在唯一的線(xiàn)索就是日志中的那個(gè)ftp登陸的ip以及賬號(hào)密碼了��,繼續(xù)吧�����。
0×5 順藤摸瓜
小Z帶著好奇心�����,繼續(xù)探索過(guò)程,直接進(jìn)入了這個(gè)ftp服務(wù)器!
使用FileZilla進(jìn)入ftp服務(wù)器的目錄���,以一目十行地速度快速掃了一遍�,首先蹦入小Z眼簾的就是NewRat.exe��,不錯(cuò)����,和前面的調(diào)查結(jié)果相吻合,NewRat就安靜地躺在這里�。
還有個(gè)獨(dú)特專(zhuān)版st2-045 winlinux小組版文件夾,潛意識(shí)告訴小Z這個(gè)文件夾里面很可能有謎底的答案��,先直接百度一下
好家伙��,雙系統(tǒng)傳馬還Kill國(guó)內(nèi)外主流殺毒軟件����,關(guān)鍵是st2-045這個(gè)就是遠(yuǎn)程代碼執(zhí)行(RCE)漏洞(S2-045,CVE-2017-5638),小Z不禁一顫��,之前居然沒(méi)想到測(cè)試這個(gè)高危的提權(quán)漏洞���。
start.bat開(kāi)始看吧
有一個(gè)叫wincmd.txt的文件��,是winows平臺(tái)下的執(zhí)行腳本����,紅框的內(nèi)容和前面splunk日志中的那段日志一模一樣,也就是幫小Z引導(dǎo)到這里的那段關(guān)鍵日志��。
Linux平臺(tái)的腳本:關(guān)閉防火墻��,下載一個(gè)叫tatada的ELF文件��,把netstat等系統(tǒng)命令改名���,清空日志等等
Result.txt文件,記錄著一些掃描到的ip的端口開(kāi)放情況
Windows.txt和linux.txt里面貌似都是存在漏洞的網(wǎng)址�。。�����。
而且其中有一個(gè)關(guān)鍵的發(fā)現(xiàn)�,就是小Z所在公司的網(wǎng)站接口居然在一個(gè)叫http.txt的list里面
到這里,小Z已經(jīng)大致猜得出自己的公司網(wǎng)站是怎么被盯上的了��。再看下幾個(gè)可執(zhí)行文件:
S.exe就是掃描器
IDA載入str045
看得出Str045.exe就是struts2-045的利用腳本程序,他會(huì)去讀取S.exe掃描出的ip及端口開(kāi)放情況的文件�����,組合do����,action等開(kāi)啟多線(xiàn)程去exploit,然后根據(jù)被攻擊的系統(tǒng)版本���,去執(zhí)行相應(yīng)的腳本�,像小Z公司的這臺(tái)web服務(wù)器是windows的�����,就會(huì)去執(zhí)行wincmd.txt��。
0×6 網(wǎng)絡(luò)架構(gòu)
目前調(diào)查到的種種跡象讓小Z堅(jiān)信黑客是通過(guò)struts2-45漏洞進(jìn)來(lái)的�!于是小Z去網(wǎng)上下載了一個(gè)最新的struts漏洞檢查工具,直接對(duì)網(wǎng)站的80端口進(jìn)行檢測(cè)���,但結(jié)果出乎意料��,居然沒(méi)有漏洞報(bào)警�����。
黑客服務(wù)器上只有針對(duì)strusts2-045的攻擊腳本�,但是檢測(cè)又沒(méi)有發(fā)現(xiàn)漏洞。這個(gè)矛盾的問(wèn)題不禁讓小Z思考更多的可能性���。
在陷入迷茫的深思同時(shí)�����, 小Z不經(jīng)意的翻看著tomcat的localhost_access_log日志��,突然一批ABAB型日志出現(xiàn)在他眼前����,一個(gè)公網(wǎng)地址����,一個(gè)內(nèi)網(wǎng)地址��,時(shí)間就在NewRat出現(xiàn)的前幾分鐘20:20:36:
這串高度相關(guān)的日志 究竟隱藏著什么意義���?會(huì)不會(huì)是解開(kāi)謎團(tuán)的入口�?帶著強(qiáng)烈的好奇心,小Z咨詢(xún)了網(wǎng)絡(luò)組的同事�,什么情況下才會(huì)出現(xiàn)這樣的情況,網(wǎng)絡(luò)組給出了網(wǎng)站如下的網(wǎng)絡(luò)架構(gòu)��,并說(shuō)明了由于業(yè)務(wù)的臨時(shí)需求��,新對(duì)網(wǎng)絡(luò)架構(gòu)做了新的調(diào)整�。
服務(wù)器的內(nèi)網(wǎng)端口是7070,公網(wǎng)防火墻上開(kāi)放了80���,443和8090端口���。公網(wǎng)端口8090作了NAT對(duì)應(yīng)內(nèi)網(wǎng)的7070端口,據(jù)說(shuō)是因?yàn)闃I(yè)務(wù)新需求開(kāi)放的��;同時(shí)為了安全考慮�,公網(wǎng)用戶(hù)如果只訪(fǎng)問(wèn)了80后,F(xiàn)5會(huì)做強(qiáng)制443端口跳轉(zhuǎn)訪(fǎng)問(wèn)F5的一個(gè)vip地址�。
這種網(wǎng)絡(luò)架構(gòu),當(dāng)有人在公網(wǎng)掃描到80和8090端口時(shí)����,就會(huì)出現(xiàn)ABAB型日志,即A就是通過(guò)NAT進(jìn)來(lái)的,B是從vip地址過(guò)來(lái)的����。所以才會(huì)出現(xiàn)上述奇怪日志的原因,那個(gè)時(shí)刻����,是黑客服務(wù)器在掃描 80和8090端口。
0×7 水落石出
NewRat也是在那個(gè)奇怪的日志后產(chǎn)生的��,這時(shí)一個(gè)念頭閃現(xiàn)在小Z腦海里�����,還是用struts漏洞利用工具�����,不過(guò)這次是去嘗試web的的8090端口��!一串清晰的紅字,警告:存在Struts遠(yuǎn)程代碼執(zhí)行漏洞S2-045 �!
再試試443端口�����,也能檢測(cè)出:
獲取web系統(tǒng)內(nèi)網(wǎng)IP信息
而且通過(guò)搜索tomcat目錄找到 struts的版本為2.5.10,的確是存在S2-045漏洞的版本�。
至此,這次入侵的來(lái)龍去脈����,小Z已經(jīng)調(diào)查清楚了。由于網(wǎng)站使用了struts框架 版本為2.5.10����,存在struts2-045漏洞,黑客通過(guò)公網(wǎng)掃描找到網(wǎng)站���,進(jìn)而執(zhí)行exploit把病毒程序傳到服務(wù)器里面執(zhí)行�,不停的病毒警告是因?yàn)椴粩嘤腥嗽诠W(wǎng)利用漏洞入侵服務(wù)器�。
0×8 題外話(huà)
但同時(shí),小Z也注意到了另一個(gè)問(wèn)題���,為什么struts漏洞利用工具直接訪(fǎng)問(wèn)80端口無(wú)法檢測(cè)出漏洞?
小Z于是想到了Wireshark����,這個(gè)網(wǎng)絡(luò)放大鏡或許能給出點(diǎn)蛛絲馬跡��。還是抓包對(duì)比一下吧��。
抓一下未檢測(cè)出漏洞的80端口的包,
第一次get請(qǐng)求���,F(xiàn)5返回了一個(gè)https的302重定向后����,由于connection:close�����,F(xiàn)5直接做出了FIN ACK
第二次����,軟件請(qǐng)求的還是與80端口,而且get請(qǐng)求是帶完整https url路徑的,這種請(qǐng)求格式導(dǎo)致F5返回一個(gè)奇怪的重定向https://WWW.XXX.COMhttps://WWW.XXX.COM/test/test.do.導(dǎo)致漏洞驗(yàn)證失敗����。
再來(lái)對(duì)比一下瀏覽器頁(yè)面訪(fǎng)問(wèn)80端口測(cè)試:經(jīng)過(guò)tcp三次握手,瀏覽器發(fā)出get請(qǐng)求之后�����,F(xiàn)5返回一個(gè)302重定向�,瀏覽器于是向443端口開(kāi)始了三次握手,接下來(lái)就是https的通信過(guò)程�����,
通過(guò)對(duì)比實(shí)驗(yàn)分析��,發(fā)現(xiàn)在漏洞利用工具在測(cè)試80端口時(shí)�,如果網(wǎng)站做了80轉(zhuǎn)443端口的強(qiáng)制跳轉(zhuǎn),瀏覽器在得到302重定向后就開(kāi)始向443端口開(kāi)始3次握手��,而測(cè)試軟件的數(shù)據(jù)包處理過(guò)程就有問(wèn)題�����,這時(shí)候直接測(cè)試80端口軟件就會(huì)存在誤報(bào)�。
小Z之前由于粗心,只測(cè)試網(wǎng)站的80端口�,得出錯(cuò)誤的結(jié)論,原因也找到了��。
0×9 結(jié)尾
到此為止��,所有的謎團(tuán)一一解開(kāi)�,小Z結(jié)束了這次曲折的入侵取證之路。
