模擬入侵者檢測網(wǎng)絡(luò)攻擊

我一直從事病毒分析， 網(wǎng)絡(luò)攻擊響應(yīng)相關(guān)的工作， 這次應(yīng)好朋友的邀請， 幫忙配合去協(xié)查幾臺服務(wù)器， 我們來到了某XXX駐地， 首先進(jìn)行例行檢查。 經(jīng)過了1天左右的時間的檢查， 其中用到了一些專用設(shè)備也包含自主編寫的工具以及第三方提供的勘察取證軟件， 共發(fā)現(xiàn)問題主機(jī)服務(wù)器10臺， 其中2臺比較嚴(yán)重， (以下用A服務(wù)器和B服務(wù)器來代替)和朋友商定后， 決定帶回我們的實驗室， 進(jìn)行專項深入分析。

習(xí)慣的檢查步驟操作：

服務(wù)器操作系統(tǒng)版本信息——>操作系統(tǒng)補(bǔ)丁安裝情況——>操作系統(tǒng)安裝時間， 中間有沒有經(jīng)過進(jìn)行重新安裝——>服務(wù)器維護(hù)情況——>服務(wù)器上面安裝的軟件版本信息

日志檢查——IDS日志信息/IIS日志信息/系統(tǒng)日志信息

網(wǎng)站代碼審查——是否存在一句話木馬， 源代碼上是否存在惡意代碼插入

殺毒軟件版本更新情況——是否是最新版本， 配置的是否合理， 配套的監(jiān)視是否全部打開

數(shù)據(jù)恢復(fù)——>利用專用數(shù)據(jù)恢復(fù)軟件進(jìn)行數(shù)據(jù)恢復(fù)， 恢復(fù)一些被刪除的日志信息和系統(tǒng)信息， 曾經(jīng)安裝過的文件操作信息。

提取可疑文件(病毒、木馬、后門、惡意廣告插件)——在系統(tǒng)文件目錄利用第三方或者自開發(fā)軟件， 對可疑文件進(jìn)行提取并進(jìn)行深度分析。

上述步驟是我個人總結(jié)的， 有不妥的地方還請朋友們指正， 介紹完理論， 我們來實踐處理下這兩臺服務(wù)器。

A服務(wù)器檢查處理過程

該A服務(wù)器所裝的操作系統(tǒng)是Advanced 2000 server， 服務(wù)器上安裝的有瑞星2008殺毒軟件， 病毒庫已經(jīng)更新到最新版本。 但是并沒有安裝網(wǎng)絡(luò)防火墻和其他系統(tǒng)監(jiān)視軟件， 安裝的ftp服務(wù)器版本為server-u 6.0(存在溢出攻擊的威脅)

一 對原始數(shù)據(jù)進(jìn)行恢復(fù)

利用Datarecover軟件來恢復(fù)一些被刪除的文件,目的是希望從被刪除的文件來找出一些木馬或者后門以及病毒。 進(jìn)行深度分析， 把曾經(jīng)做過的格式化， 以及在回收站中刪除過的文件恢復(fù)過來， 但是遺憾的是成功拿下這臺服務(wù)器權(quán)限的黑客已經(jīng)做了專業(yè)處理， 把他的一些痕跡進(jìn)行了全面清理， 個人認(rèn)為他使用了日本地下黑客組織開發(fā)的專項日志清除工具， 經(jīng)過我和助手的共同努力還是把系統(tǒng)日志恢復(fù)到當(dāng)年5月份。

二 手工分析可疑文件

在本服務(wù)器的c盤根目錄下面有一個sethc..exe 文件。 這個文件是微軟自帶的， 是系統(tǒng)粘制鍵， 真實的大小應(yīng)為27kb， 而這個文件為270kb， 起初我以為是由于打補(bǔ)丁的原因。 但是經(jīng)過翻閱一些資料和做比對之后， 才知道這樣的文件是一個新開發(fā)的流行后門， 主要用法：通過3389終端， 然后通過5次敲擊shift鍵， 直接調(diào)用sethc.exe而直接取得系統(tǒng)權(quán)限。 隨后達(dá)到控制整個服務(wù)器， 通常他還是通過刪除正常的一些c盤exe文件。 然后把自己偽造成那個所刪除的exe文件名。 造成一種假象。

這里我們提供解決方法如下：個人建議這個功能實用性并不高， 建議直接刪除這個文件， 如果有人利用這個手法來對你的服務(wù)器進(jìn)行入侵， 那就肯定是有人做了手腳， 可以第一時間發(fā)現(xiàn)黑客入侵行為， 也可以作為取證分析的一個思路;在控制面板的輔助功能里面設(shè)置取消粘制鍵。

三、 利用專用防火墻檢查工具去查看網(wǎng)絡(luò)連接情況

目的是通過抓數(shù)據(jù)包來找出問題。 如果對方安裝的有遠(yuǎn)程控制終端， 他肯定需要讓保存在服務(wù)器上的后門和控制終端進(jìn)行通話， 會有一個會話連接。 通過防火墻的攔截功能而去尋找出控制的源頭。 這個上面沒有發(fā)現(xiàn)存在反彈木馬， 所以沒有看到入侵的源頭。

四、檢查系統(tǒng)日志

作用：檢查系統(tǒng)日志是否被入侵者清除， 如果日志被入侵者刪除， 需要用數(shù)據(jù)恢復(fù)軟件恢復(fù)操作系統(tǒng)日志

檢查內(nèi)容：主要包括IIS日志， 安全性日志， 系統(tǒng)日志。

更近一步深入檢查：

找到日志后， 仔細(xì)分析網(wǎng)站是否有入侵者留下的webshell,尤其是一句話后門

根據(jù)Webshell的名字， 在IIS 訪問日志里搜索相關(guān)的名字， 找到入侵者常用的ip地址， 分析ip地址

還可以根據(jù)此IP地址檢索IIS日志中， 此入侵者都進(jìn)行過什么樣的操作

技術(shù)點滴：如果你比較熟悉Webshell， 通過Get操作可以知道入侵者都進(jìn)行過何種操作。 因為Get操作是被系統(tǒng)記錄的。

如果入侵者裝有系統(tǒng)級的后門， 用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件， 用其他調(diào)試工具分析找到入侵者控制端IP地址。

通過服務(wù)器日志查出隱藏在后面的幕后黑客

通過iis的log訪問日志， 排查出三個可疑目標(biāo)， 其中一個手法相對于后兩個入侵者更熟練一些， 他在今年5月份左右或者更早就拿到了該服務(wù)器權(quán)限， 上來之后到是沒有做任何的添加和修改， 從技術(shù)上來看， 他是通過尋找網(wǎng)站的注入點進(jìn)來的， 然后在上面放了不少的后門， 還放了一個mm.exe的文件， 但是因為技術(shù)問題， 沒有把這個馬運行起來， 從外部訪問只是在主頁上顯示為mm.jpeg， 偽裝成了圖片。 但是打開以后， 什么都沒有。 經(jīng)過我們分析以后， 它是一張裸女的jpeg文件。 如果他這個mm.exe成功， 完全有可能將該主站頁面換成一張黃色圖片。 危害還是有的。 另外該站點權(quán)限給的過高， 在訪問新聞頻道的時候， 直接就是sa權(quán)限。 這個是最高系統(tǒng)級和Admin是一個級別的。

由于服務(wù)器被網(wǎng)管人員重新裝過， 初步懷疑是用的ghost安裝的， 造成了原珍貴日志數(shù)據(jù)無法找回， 我們只能分析出7月份-12月份這段時間的日志， 通過這些日志我們又發(fā)現(xiàn)了針對此站點的入侵記錄。

入侵者操作再現(xiàn)：(黑客入侵操作過程分析)

2007-07-15 14:51:53 61.184.107.206 添加管理用戶 net localgroup administrator Cao$ /add

2007-07-15 15:08:56 61.184.107.206 寫下載exe的vbs腳本 c:\admin.vbs 試圖下載exe地址為：http://www.hack58.com

2007-08-12 09:48:45 218.205.238.6 寫入webshell小馬:d:\ybcenter\gg3.asp shell里留的QQ:183037， 之后此人頻繁用此后門登陸服務(wù)器

2007-08-25 08:03:15 218.28.24.118 曾訪問他以前留下的操作數(shù)據(jù)庫的webshell /system/unit/main.asp 此后門可以瀏覽到敏感數(shù)據(jù)庫的信息

2007-08-25 08:12:45 218.28.24.118 寫入另一個webshell D:\ybcenter\ggsm.asp

之后， 218.28.24.118用以前留下的功能比較全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp頻繁操作服務(wù)器上文件

2007-11-11 14:23:23 218.28.24.118 用他曾經(jīng)留下的操作數(shù)據(jù)庫的后門/service/asp.asp訪問敏感數(shù)據(jù)庫的信息

2007-08-25 08:27:57 218.28.24.118 用他曾經(jīng)留下的操作數(shù)據(jù)庫的后門/system/unit/sql.asp訪問敏感數(shù)據(jù)庫的信息

2007-11-11 11:02:55 218.28.24.118 試圖訪問他曾經(jīng)留下的操作數(shù)據(jù)庫的后門/yb/in_main3.asp訪問敏感數(shù)據(jù)庫

2007-08-06 12:42:41 218.19.22.152 寫下載腳本C:\down.vbs 下載的exe為http://www.520hack.com

2007-08-09 11:57:16 218.19.98.147 寫ftp下載exe的腳本c:\zxq.txt ftp服務(wù)器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-08-26 07:43:47 123.5.57.117 試圖攻擊服務(wù)器

2007-08-26 07:43:47 123.5.57.117 寫ftp下載exe的腳本c:\zxq.txt ftp服務(wù)器203.253.31.244 用戶名kick1000 密碼84460965 下載1.exe

2007-12-10 12:41:34 123.52.18.141 檢測注入

五、查看登陸信息 查看是否存在有克隆帳戶。

方法：檢查注冊表里面的sam文件有沒有相同的fv， 在這里檢查過程中沒有發(fā)現(xiàn)存在有克隆帳號。

六、查看系統(tǒng)安裝日志， 在這里并未發(fā)現(xiàn)問題。

七、 查看IIS訪問日志， 在這里發(fā)現(xiàn)了攻擊者信息。

2007-12-01 08:55:16 220.175.79.231 檢測注入

2007-12-03 18:40:48 218.28.68.126 檢測注入

2007-12-04 01:31:32 218.28.192.90 檢測注入， 掃描web目錄

2007-12-04 23:23:33 221.5.55.76 檢測注入

2007-12-05 09:20:57 222.182.140.71 檢測注入

2007-12-08 09:39:53 218.28.220.154 檢測注入

2007-12-08 21：31：44 123.5.197.40 檢測注入

2007-12-09 05：32：14 218.28.246.10 檢測注入

2007-12-09 08：47：43 218.28.192.90 檢測注入

2007-12-09 16：50：39 61.178.89.229 檢測注入

2007-12-10 05：50：24 58.54.98.40 檢測注入

定位可疑IP地址， 追蹤來源 查出IP地址的信息。

八、查看網(wǎng)站首頁的源代碼， 在iframe 這個位置查看是否有不屬于該網(wǎng)站的網(wǎng)站信息。 (查找 網(wǎng)馬的方法)， 以及如何發(fā)現(xiàn)一些潛在的木馬和網(wǎng)絡(luò)可利用漏洞。

下面是我們得到的一些他的網(wǎng)馬。

gg3.asp Q：1062335

log.asp

pigpot.asp

webdown.vbs

attach/a.gif

attach/chongtian.gif

attach/111.rar

system/unit/yjh.asp

system/unit/conn.asp 加入防注入

Q：88373635

images/mm.jpg = exe自解壓 主頁包含文件

一句話木馬：

備份一句話木馬

注射檢查， 在IIS里面查找是否存在的有針對 and 1=1’sql

'or'='or' a'or'1=1-- ， 'or1=1-- ， "or1=1-- ， or1=1--， 'or'a'='a， "or"="a'='a等

作用：躲避驗證信息 主要用在后臺登陸上

%5c 爆數(shù)據(jù)庫， 作用直接下載服務(wù)器上的數(shù)據(jù)庫， 獲得用戶名和密碼， 經(jīng)過系統(tǒng)提權(quán)而拿到整個服務(wù)器權(quán)限。

針對一些下載者這樣的木馬 ， 主要需要在windows /document and setting下面的local setting 的 temp 或者 temp internet的這個文件夾中查看剛生成的exe文件， 重點查看一下在system32文件夾下面的exe文件， 尤其關(guān)注最新生成的exe文件， 偽造的系統(tǒng)文件等。

以上就是針對A服務(wù)器的整個檢查過程以及發(fā)現(xiàn)問題后該如何處理和補(bǔ)救的相關(guān)解決方法。

B服務(wù)器檢查取證分析

B服務(wù)器裝的是windows2000　server版本， 操作步驟同上。

經(jīng)過一段細(xì)心的檢查還是讓我和助手們發(fā)現(xiàn)了一個木馬， 起因是在網(wǎng)站源代碼處發(fā)現(xiàn)都被插入了一些奇怪的代碼， 在system32系統(tǒng)文件夾下還發(fā)現(xiàn)了新的niu.exe， 非�？梢桑� 提取該exe文件， 在虛擬機(jī)中進(jìn)行分析， 得出該exe工作原理：

該exe屬木馬類， 病毒運行后判斷當(dāng)前運行文件的文件路徑如果不是%System32%\SVCH0ST.EXE， 將打開當(dāng)前文件的所在目錄復(fù)制自身到%System32%下， 更名為SVSH0ST.EXE， 并衍生autorun.inf文件；復(fù)制自身到所有驅(qū)動器根目錄下， 更名為niu.exe， 并衍生autorun.inf文件， 實現(xiàn)雙擊打開驅(qū)動器時， 自動運行病毒文件；遍歷所有驅(qū)動器， 在htm、asp、aspx、php、html、jsp格式文件的尾部插入96個字節(jié)的病毒代碼；遍歷磁盤刪除以GHO為擴(kuò)展名的文件， 使用戶無法進(jìn)行系統(tǒng)還原；連接網(wǎng)絡(luò)下載病毒文件；修改系統(tǒng)時間為2000年；病毒運行后刪除自身。