近日安全狗在幫助某客戶追蹤溯源一例入侵事件時(shí),發(fā)現(xiàn)了該案例具有很強(qiáng)的代表性。該事件中黑客通過攻擊處于DMZ區(qū)互聯(lián)網(wǎng)側(cè)的Web服務(wù)器,并將其做為跳板機(jī)入侵內(nèi)網(wǎng),繼而實(shí)現(xiàn)橫向滲透。海青安全實(shí)驗(yàn)室通過攻防靶場環(huán)境還原了整個(gè)攻擊過程。

　　(本文所涉及到的案例中,URL、IP等敏感信息均已打碼,所有截圖均是在復(fù)現(xiàn)過程中獲得。)

　　先復(fù)現(xiàn)環(huán)境拓?fù)?還原黑客入侵過程。

　　1、信息收集探測(cè)

　　攻擊者在確定好攻擊目標(biāo)后,立即展開對(duì)攻擊目標(biāo)信息的收集,該過程非常重要,收集到的攻擊目標(biāo)信息量完整與否,甚至決定該次的攻擊是否成功。

　　2、入侵階段

　　訪問該目標(biāo)82端口,看到常見的phpcms，查看版本,發(fā)現(xiàn)是9.6.0,是有存在漏洞的，利用漏洞腳本檢測(cè),成功獲取webshell

　　3、提權(quán)階段

　　拿到shell,攻擊者用菜刀成功連接，經(jīng)過測(cè)試,發(fā)現(xiàn)菜刀下無法執(zhí)行命令,接下來就是思考如何提升權(quán)限。翻查服務(wù)器文件,找到mysql root賬號(hào)，嘗試使用udf提權(quán)，創(chuàng)建函數(shù)名為sys_eval,接下來可以以system權(quán)限執(zhí)行命令,查詢管理員為登錄狀態(tài),上傳wce抓管理明文密碼。

　　4、橫向滲透

　　查詢路由表發(fā)現(xiàn)內(nèi)網(wǎng)還存在192.168.77段的網(wǎng)絡(luò)存在，查詢路由表發(fā)現(xiàn)內(nèi)網(wǎng)還存在192.168.77段的網(wǎng)絡(luò)存在上傳regeorg的代理腳本tunnel.php到入口站點(diǎn)，設(shè)置本地8888端口代理。把代理添加到proxychain的配置文件里，通過代理探測(cè)到存在另一臺(tái)主機(jī)192.168.77.7,同時(shí)開放80端口，通過代理訪問,發(fā)現(xiàn)該站存在phpmyadmin應(yīng)用,同時(shí)存在弱口令root:root，可以通過phpmyadmin 寫shell,通過phpinfo頁面獲知網(wǎng)站絕對(duì)路徑為D:/phpStudy/WWW。

　　寫shell時(shí),由于mysql的--secure-file-priv的設(shè)置問題,導(dǎo)致無法寫文件到攻擊者指定的路徑,既然無法正常寫文件,攻擊者就嘗試寫到日志文件，用菜刀連接webshell:http://192.168.77.7/shell.php，查看權(quán)限發(fā)現(xiàn)已經(jīng)是系統(tǒng)權(quán)限了，查看系統(tǒng)為win2008,基本沒打補(bǔ)丁。

　　5、植入后門

　　攻擊者經(jīng)過長期持續(xù)觀察,發(fā)現(xiàn)管理員經(jīng)常登錄該機(jī)器進(jìn)行管理其他機(jī)器,所有想獲取跟多的權(quán)限,可以在該臺(tái)機(jī)器種上鍵盤記錄器。查詢管理員在線,上傳wce 抓取管理密碼。因?yàn)楫?dāng)前權(quán)限為system,所以需要切換到administrator權(quán)限去執(zhí)行鍵盤記錄器的植入,才能記錄到administrator的操作記錄。

　　6、后滲透擴(kuò)展

　　查看已種植后門機(jī)器上的按鍵日志記錄,正好可以獲取管理員遠(yuǎn)程管理192.168.88.41的登錄憑證。至此攻擊者又多了一臺(tái)內(nèi)網(wǎng)機(jī)器權(quán)限,剩下的就是如何在內(nèi)網(wǎng)擴(kuò)展,獲取更多的機(jī)器權(quán)限。

　　7、復(fù)盤與總結(jié)

　　從上帝視角來看,這是一個(gè)相對(duì)完整的針對(duì)內(nèi)網(wǎng)入侵過程。

　　當(dāng)然,為了突出重點(diǎn)使行文更加易讀,這里只是簡單還原了針對(duì)該客戶內(nèi)網(wǎng)入侵過程的一些重要節(jié)點(diǎn),在實(shí)際網(wǎng)絡(luò)入侵過程中攻擊者會(huì)用到到更多高級(jí)的手段,比如各種反病毒程序的bypass,或者是內(nèi)網(wǎng)反入侵系統(tǒng)的檢測(cè)的繞過等等,但是基本思路和方法都是類似和相通的。企業(yè)可以針對(duì)入侵過程的各個(gè)環(huán)節(jié),層層設(shè)卡來抵御常規(guī)的黑客入侵。

　　例如,通過安全狗服務(wù)器EDR產(chǎn)品(云眼系統(tǒng))即可在該入侵過種中多個(gè)關(guān)鍵節(jié)點(diǎn)捕獲到攻擊信息:

　　監(jiān)測(cè)到的網(wǎng)絡(luò)行為

　　監(jiān)測(cè)到的網(wǎng)絡(luò)行為

　　監(jiān)測(cè)到的進(jìn)程行為