0x01 情况说明
宝子们现在只对常读和星标的公众号才展示大图推送,建议大家把李白你好“设为星标”,否则可能就看不到了啦!
应急响应是信息安全工作中重要的一环,但有时也会因为客户对“黑客”攻击的“恐惧”心理,从而产生很多啼笑皆非的应急响应事件。
0x01 情况说明
本文作者Day1安全团队returnwrong,文章首发freebuf,经过作者同意转载到李白你好并打原创标识。
2020年某日,我方接到某单位网络安全负责人反馈,该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器,事出紧急,现场工作人员怀疑该服务器账号密码被黑客更改,需要我方技术团队进行现场支持。
0x02 现场排查
经过60分钟后到达客户现场,再次与网络安全负责人确认情况,得到信息与电话沟通内容一致。立刻进入机房进行现场分析,首先对该机器进行物理断网和密码重置,随后使用安全工具对系统进行入侵排查和病毒木马检测,以下为机房现场情况:
(我在这里露个脚(。・_・。)ノI’m sorry~)
对该机器进行物理断网后,进入BIOS,设置从U盘启动:
1、进入pe对系统密码进行更改处理,主机登录成功,并对系统存在账户进行排查未发现可疑账户:
2、对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查:
3、排查定时任务,并且跟现场工作人员核对,未发现其他非工作人员创建的定时任务
4、排查系统防火墙,日志审核策略及日志留存情况,并将日志做导出备份处理:
5、跟主机安全负责人、网络负责人及该主机使用方做相关询问得出以下信息:
设备IP:172.xx.xx.xx/24
设备网关:172.xx.xx.1
系统管理及使用方登录方式:连接vpn后使用windows远程桌面连接
系统使用方登录时间:2020年8月6日18:30—19:00
主机管理方登录时间:2020年8月7日8:30—9:00
计划任务:使用方自己的正常业务
系统使用方最后一次登录时间:3个月前
0x03 分析结果
基于该主机自身情况进行分析
(1)调查该主机自身感染病毒木马情况:人工分析未发现系统感染恶意病毒木马特征,无可疑账户、克隆账户、可疑计划任务,未发现入侵现象。
(2)系统日志分析情况:对近期系统登录成功与失败日志进行排查,如下图所示:
(3)使用logparse进行日志分析:
8月7日8:30-9:00间多次登录失败,并非攻击者更改密码所致,实际为登录用户名输入错误所致(正确用户名为administrator用户使用用户名为Lenovo,推测为用户远程登录时未修改登录默认用户名信息,导致用户名为个人pc用户名)。根据日志该系统最后一次远程桌面登录为2020年5月6日,与系统使用方描述一致。
0x04 往期精彩
新鲜出炉的edu SRC报告
两次钓鱼 BOSS直聘HR上线CS