网页篡改事件应急案例

结论建议

结论：

1. 感染的病毒为最新的 GANDCRAB V5.2，该版本目前尚无公开解密秘钥，在不支付赎金前提下， 无法对加密文件进行解密。
2. 该主机在 2018 年 5 月至 7 月期间，感染过多个恶意程序，由于涉及域名均已失效，但均不具 备勒索病毒特征，与此次事件无关。
3. 通过对系统日志
   分析，排除了攻击者通过远程桌面（RDP）口令爆破植入病毒程序的可能性。1. 由于 WebLogic 存在多个安全漏洞
   且暴露在互联网，导致被攻击者利用并植入了相关后门程序。1. 通过攻击特征及版本验证，确认攻击者使用了 2019 年 4 月 25 日公开的 WebLogic wls9_async_ response 反序列化
   命令执行漏洞（CVE-2019-2725 ）。建议：
4. 对于重要的加密感染文件，建议备份留存并等待秘钥公布，历史上 GANDCRAB病毒作者曾多 次公布解密秘钥。
5. 通过黑白盒结合方式对 WEB应用做安全测试及后门排查，防止将有后门的应用再次部署上线。
6. 加强对操作系统及 WEB日志的审计留存，如 WEB应用可通过反向代理方式对访问记录进行留 存。
7. 及时更新安全防护设备规则，如 WAF、IPS 等，防止被网络上公开的 1day 漏洞攻击利用。
8. 定期定时对重要业务数据进行备份，以便在事后及时对业务系统进行恢复。

挖矿木马病毒应急案例

1. 背景介绍
   某门户网站 Windows 服务器 CPU 使用率 100%，初步判断被植入了挖矿木马病毒。

处置过程

1. 挖矿程序已被管理员清除，通过回收站恢复样本并明确文件创建时间。
   图 5.23 文件创建时间
2. 扫描网站目录 webshell 后门，分析 web 日志均未发现异常。
3. 通过分析 SQL Server 日志，发现存在 sa 用户爆破痕迹，并且启用了 xp_cmdshell。
   图 5.24 sa 用户爆破痕迹
4. 分析系统应用程序日志，进一步确认 SQL Server存储过程（xp_cmdshell）被启用并执行系统命令。
   图 5.25 xp_cmdshell 执行记录
   挖矿程序分析：
   通过对样本进行分析发现为 KingMiner 挖矿木马病毒。KingMiner 挖矿木马病毒利用 SQL Server 弱 口令爆破获取系统权限，进而植入挖矿木马。该木马采用白利用的方式挖取门罗币。病毒为保证挖矿流 程成功执行，在 XP以上系统中，还会执行备用流程，利用 powershell 内存加载的方式挖取门罗币，整 体的病毒流程：
   图 5.26 KingMiner 双重挖矿模型

结论建议

结论： 1. 攻击者通过成功爆破系统 1433 端口 SQL Server 口令，利用存储过程 xp_cmdshell 执行系统命令，
运行挖矿程序。
建议：

1. 对所有的 SQL Server 用户口令进行更改，增加口令复杂度。
2. 修改策略只允许特定的 IP 从公网访问 1433 端口或者禁止 1433 端口在公网开放。
3. 建议对系统远程桌面等重要口令进行更改。
4. 关闭存储过程 xp_cmdshell，严格控制数据库的用户权限，尽量不要赋予 sa 权限
   \ 关闭 xp_cmdshell
5. 将系统的安全补丁更新到最新。
6. 建议禁止服务器上外网。
7. 建议使用专业的安全软件对服务器进行防护。

网页篡改事件应急案例

1. 背景介绍
   2019 年 01 月从绿盟云监控告警得知，某客户网站页面被篡改。
   图 5.27 绿盟云监控告警

处置过程

打开网站首页，查看源代码发现 HTML代码中被插入了恶意广告：
图 5.28 HTML 代码中插入恶意广告
web 日志分析：
查看告警时间段的 web 日志得知，云监控首次发现 /portal/article/index/id/3077/cid/4.html 页 面被篡改的时间为：12/Jan/2019:06:01:10，请求 user-agent 头：Mozilla/4.0(compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)：
图 5.29 web 日志
筛 选 最 后 一 次 监 控 到 /portal/article/index/id/3077/cid/4.html 页 面 正 常 的 时 间 为 12/ Jan/2019:04:43:43：
图 5.30 web 日志
提取 12/Jan/2019:04:43:43-06:01:10 之间的日志进行分析，发现只有 IP（119.*.*.50）于 05:30 分 左右对 /static/font-awesome/fonts/indax.php 文件进行了访问：
图 5.31 日志分析
访问 /static/font-awesome/fonts/indax.php 文件，发现该文件为 php 大马：
图 5.32 PHP 大马
由此可确定攻击者调用 /static/font-awesome/fonts/indax.php 大马实现网页篡改。 ① 确定 webshell（/static/font-awesome/fonts/indax.php）的上传路径 /static/font-awesome/fonts/indax.php 首次访问时间为：10/Jan/2019:23:18:35 的记录：
图 5.33 首次访问时间 进一步分析发现，攻击者调用 content.php 进行了一系列操作：
图 5.34 操作记录
通过检索 content.php 关键字，发现 content.php 是攻击者通过 ThinkPHP 远程命令执行进行上传的， 上传者 IP 与调用 content.php 上传 /static/font-awesome/fonts/indax.php 的 IP 相同，为 112.*.*.30 。
命令执行的主要内容为：
上述命令的意思是，读取网址 http://xia*.*.net/ma.asp 的内容写入到本地 content.php 中。
应急人员下载 http://xia*.*.net/ma.asp 后，通过搭建环境，结合 web 日志，复现攻击者调用 content.php 进行的操作。最终确认攻击者实际调用 content.php 进行了 9 步操作。

1. 删除网站根目录下
2. 删除网站根目录下
3. 删除网站根目录下
4. 进入 /static/ 目录
   indax.php 文件 co.php 文件 class1.php 文件
5. 进入 /static/images/ 目录
6. 回到 /static/ 目录
7. 进入 /static/Front-awesome/ 目录
8. 进入 /static/Front-awesome/Fronts/ 目录
9. 向 /static/Front-awesome/Fronts/ 目录传入文件（indax.php） 至此，可确定完整攻击路径如下：
10. 2019 年 1 月 9 日 21 点 47 分 44 秒，攻击者（IP ：112.*.*.30）通过 ThinkPHP 远程命令执行 漏洞上传文件名为 content.php 的 webshell。
11. 2019 年 1 月 10 日 23 点 18 分 25 秒，攻击者通过 webshel（content.php）上传隐蔽性、免杀 能力更强大的木马后门 /static/font-awesome/fonts/indax.php。
12. 2019 年 1 月 10 日 5 点 30 分到 32 分，攻击者通过 wehsehll（index.php）对 /portal/article/ index/id/3077/cid/4.html 页面进行了篡改，插入大量暗链。

参考资料

绿盟 2019年安全事件响应观察报告

友情链接

GB-T 36643-2018 信息安全技术 网络安全威胁信息格式规范