记一次“受到攻击后不开心从而进行溯源”的安全溯源事件
2021年的7月注定是雨水充沛的一个月,站在公交车站台的我看着窗外浸没过车轮的雨水,不时对公交车的本质产生了思考,我所在的城市下水系统有点问题,每年大概在雨水充沛的季节里,有几个星期,我更想称呼它为“公交船”。
我想它自己也不会想到它被设计出来是要用来渡河的,就好像我们大学毕业之前也从未想过,之后的有段日子是要用来打工的,打工是不可能的,这辈子… …哎,师傅,等一下,我还没上车呢,我上班要迟到了,等等我… …
情况简介
2021年7月某日,坐在电脑前百无聊赖的我,思考着自己今后的人生“我想吃,我想喝,我想暴富”,正在沉浸在幻想的时候突然平台多了一条告警。
点开详情看看,普普通通的命令执行,万变不离其宗,无非就是删除/tmp/目录wget恶意软件,再增加777权限后执行。作为常年态势感知工具人的我,已经不再像当年刚毕业时那么紧张兮兮了。
看下响应码403,攻击失败,复制payload测试一下,页面无响应,告知防火墙管理员封禁一下恶意IP,结束。
但是想想,处理过那么多告警,几乎都是这样放过对面,这次我不想放过了,即使只是一个来自于互联网的盲打攻击,我也想看看到底是什么人干的,于是就有了这篇溯源文章… …
安全分析
1. 2021年7月某日下午,态势感知平台收到告警,将告警payload如下展示,避免出现各种问题,我这边对真实IP内容进行隐藏,其他内容如下:
2.以我浅薄的分析经验来看,一般这种用于提供下载服务的机器通常都是攻击者通过互联网公开漏洞抓取的傀儡机,没有必要花时间在反制傀儡机上。于是打开vmware虚拟机将上述payload中的Mozi.m文件下载下来进行查看发现这是个powershell命令文件,具体内容如下:
3.熟不熟悉,意不意外我一眼就看出你不是人,大威天龙!抱歉,串戏了,这段很明显是cobalt strike的powershell攻击的信标脚本。但是我产生了一个问题,你用wget下载这个文件并增加权限,这不都是linux下操作吗,你为什么要在linux里下载一个windows的恶意文件呢?
这让我一度对人生产生了疑惑,难道黑客和我一样菜,难道这是什么高级的攻击方式… …算了,黑客大佬的思维不是我这等凡人能想通的,通过base64解码最后获得了攻击者的IP相关信息。
4.通过互联网上对该IP的被动查询,发现这个IP果然是个cobaltstrike的server:
攻击反制
1、这里就得对黑客做个吐槽了,我作为一个非攻击队的底层安全人员,都知道给cobaltstrike注册一个域名,并通过修改证书增加cdn服务器对系统进行隐匿。好家伙,你直接默认端口跑在互联网上,这是我没想到的,难道这大哥cobaltstrike为了方便也用的弱口令,试试。好家伙,密码password,我无语了… …
2.在这里跟大家稍微解释点基础,cs软件有几种生成becon的方式,powershell是其中一种,这种方式在攻击windows的时候属于无文件落地攻击。
3.对被该服务端进行调查,再次将该cs主机称呼为1号机,发现该1号机建立针对其他主机的监听。该监听执行一个美国的IP107.XX.XX.XX,说明在一号机不是幕后主使的机器,暂且先把2号机定为幕后主使的机器,谁知道后面还有多少层,对2号机在fofa上进行溯源发现其也未进行证书伪装(手法一致):)
4、在威胁情报库对该IP进行查询分析发现这个IP非常恶意
5、在情报留言处发现有情报将其标记为另一IP,对其进行信息查询发现与该ip相关的IP为apt组织相关IP。
到此溯源分析工作完毕,毕竟得罪不起apt大佬,也没能耐能得罪人家。
收尾工作
对白象apt组织做一个简单的介绍:
总结
溯源和反制大部分时候护网蓝队干的比较多,不知道有没有人是专门进行黑客追踪的,如果有这方面的大佬可以带带老弟。分析过程中会发现好多问题,也许溯源很长时间一下线索断了,对个人信心打击比较大,但对于我这样没心没肺的来说,就那样吧。
但是希望和我一同做分析的人,最主要的一点就是不要随便拼凑证据,这样最后的结果也会有问题,“有一个目标,然后学习一堆技能,而不是反过来”。