反黑逆向溯源追踪之：某某某局入侵事件分析

　　其实是去年年底的事儿，最近又琢磨起这个病毒了，就想起来之前写的报告了，贴出来大家一起研究研究哈。。。

　　再不冒泡，估计会被剑心踢出去的。。。。

　　1 事件原因：

　　2014年12月23日，接到某市公安局电话，告知该市公安局公安网内部某重要数据库被篡改，需要协助进行分析取证。

　　12月24日早晨紧急赶到该市公安局，该单位负责人组织相关人员开会，简单的说明了下事件情况和特殊性，原来遭到篡改的数据库服务器，是存放XX信息的重要数据库，在发现入侵后，管理员第一时间备份了数据库的访问记录，数据库日志情况大致如下：

　　根据数据库日志显示，IP地址为10.xx.80.24客户端(PC机拥有人：张XX)，在11月30日晚上11时左右到12月1日凌晨，连接了数据库，并删除了敏感数据，而且从该PC机日志中发现，10.xx.80.20服务器(一个考试服务器)曾经连接过该管理员PC，据此进行调查取证，过程如下：

　　注：10.xx.80.20为内网服务器，只提供单位内工作人员内部考核的功能，不提供外网服务。

　　2 取证过程：

　　一、25日上午到达机房进行询问和了解情况，当日下午16时左右，发现10.xx.80.20服务器日志被清除，从服务器上进行查看，发现日志与当日中午13时左右被清理，且在该服务器中发现大量黑客提权工具(cmd.exe、wsvr.exe等)，以及ASP脚本网页木马等恶意文件和程序，据此判断，该服务器已经被入侵过，在检查中发现，网站IIS日志被删除，因此无法查到来源，根据25日上午在服务器中查看系统日志中发现，有大量IP地址曾尝试连接10.xx.80.20服务器，经过IP地址摸排，大部分IP地址均为服务器部分IP涉及个人PC电脑，根据线索，对所有的服务器进行了一次查看，发现所有服务器都有攻击行为记录，且相互攻击，进行弱口令扫描，关系图如下：

 

　　简单点说：比如管理员主机为A，10.xx.80.20主机为B，在管理员A主机日志中发现了B主机的大量尝试登陆信息，然后去B主机那查，发现以前的日志不见了，最新的日志里有C、D、E等N个个人PC和服务器登陆B主机的行为，然后挨个摸排C、D、E这些主机，在这些主机里又发现了A和B的攻击记录，总之很乱套……摸排下来，产生过攻击行为的服务器加个人主机，至少40多台。。。。。

　　而且，你会在A服务器中，发现B服务器的登陆记录，而B服务器登陆A服务器时采用的账户名，是B服务器独有的，其他服务器也类似……好吧，说不清楚了，我下面详细说吧- -

　　根据如上关系图，初步认为有大量主机被控制，对内网主机进行扫描。

　　下图为10.xx.80.20服务器部分日志截图：证明有服务器尝试破解管理员账户口令，疑似已经沦为肉鸡。

　　注：这是初步认为，但是后来我发现，自己想的太简单了。。。。。

 

　　并且在该服务器中，发现大量的尝试登陆信息，用户名皆为ANONYMOUS LOGON，如下图：

 

　　当我接入个人PC在该网络内的时候，发现自己的电脑日志里也出现了N多的尝试登陆信息，用户名皆为ANONYMOUS LOGON，而虚拟机也有该问题，虚拟机还跟自己不是一个网段，用的是VM1网卡。

　　我开始怀疑，这个攻击来源，是来自于网络内部，而且还在持续攻击着。

　　在对整个网络服务器进行排查的时候，发现某个服务器，任务计划中有一项可疑的任务计划，如下图：

 

　　正当我准备点击该任务计划，查看详情的时候，该任务计划忽然消失了。根据以往的经验，该任务计划肯定不是管理员自助创建的，理由有二：

　　1).任务计划中，At字母开头的，是代表后台进程执行后所产生的任务计划，也就是说，是通过命令行的方式进行创建出来的;

　　2).在手工创建任务计划时，是不会自动进行命名的，任务计划名称必须管理员手工填写，而手工填写的任务计划，不会以这样的特殊字母进行开头，如下图：

　　在手工创建时，必须选择你要执行该任务的程序，然后填写任务计划名称。

 

　　初步判断，是有程序在后台执行，并且创建了该任务计划，利用任务计划，执行某程序的方式，跟早些年windows NT、XP、2003等系统利用IPC$默认共享漏洞进行入侵的方式极为类似，为了验证自己的推论，在虚拟机中做了如下测试，

 

　　在windows2003服务器中，默认是开启IPC$、ADMIN$、C$这些默认共享的，虽然没有执行权限，但是依然可以利用该漏洞，在服务器中写入特定的程序，上图为建立IPC$空连接测试命令，返回“命令成功完成”，可以证明，在windows 2003系统中，该漏洞是默认存在的。

　　只是建立空连接的话，是没有任何危害的，假如管理员的密码为弱口令，该漏洞就会造成很大的影响，命令执行过程如下图：

 

　　根据实际测试，windows2008在不打任何补丁的情况下，只要存在弱口令，同样可以通过IPC$去写入。当时测试了win7、windows2008、windows2003系统，win7的我忘了，反正2008和2003都能执行。。

　　通过测试，发现利用该漏洞添加的任务计划，与之前发现的名字为“At1”的任务计划一样，而且在服务器日志中发现，在利用该漏洞添加任务计划后，会留有ANONYMOUS LOGON的登陆信息，由此可疑确定，该网络中，有部分主机存在该默认共享漏洞，而且有东西在利用该漏洞执行某些特定的程序。

　　通过该线索，对网内所有可访问到的服务器和个人PC进行排查，发现大部分服务器除了都有攻击行为以外，还存在弱口令、以及默认共享没有关闭、未安装补丁和杀毒软件等共同问题，而且在10.xx.80.123服务器中，发现有可疑任务计划，该任务计划在特定时间内，会执行cool_gamesetup.exe程序，且通过IPC$默认共享漏洞进行传播，经过反复测试，已确定大部分服务器都存在该高危漏洞，其中包括windows2003、windows2008等系统，如下图：

 

　　将该病毒备份后，放置虚拟机中进行动态，发现该病毒在虚拟机中，会自动进行复制，并且会对局域网中所有已存活的主机进行弱口令扫描以及漏洞探测，下图为虚拟机环境中测试结果：

 

　　其中：192.168.226.127为感染病毒主机，一旦染毒，就会向同网段的192.168.226.128发送数据包

　　并且访问其137、139端口。

 

　　上图为该病毒利用IPC$共享漏洞进行传播的过程

 

　　上图为病毒读取注册表项，来获取服务器名称。该病毒会读取受感染主机的计算机名称，然后获取该服务器用户信息，并利用在受感染主机中获取到的用户名对网段内所有存活主机进行暴力破解。

　　动态分析完了，用静态分析看下，，

　　通过PEID检查，发现该病毒做了加壳操作

 

　　再一次用depends来确认，确实是加了壳，还是EXECrypor，加了壳后，加载的动态函数都看不到了。

 

　　脱这个壳很简单，通过简单的单步跟踪法进行脱壳，三步就能到达真正的OEP,地址：OEP地址0005E88F

 

　　脱壳后进行修复，并载入depends再次查看，这次发现，该病毒加载的动态函数全部呈现出来了，加载了哪些功能，也就一清二楚了。

 

　　加载的这些功能我就不说了，毕竟又不是远控= =

　　在OD中，发现，该病毒执行后会push到开机启动项当中

 

　　根据测试结果，服务器一旦感染该病毒，该病毒会自动向同网段服务器发送数据包，进行弱口令扫描，并且连接TCP 137端口，获取当前服务器的计算机名，向其他服务器发起攻击，如果发现有服务器存在IPC$共享漏洞，则进行传染。

　　在测试结果中发现，该病毒会定期自动删除系统日志，时间不固定，具体删除日志的触发条件不明。

　　该病毒在测试中有三种不同的功能：

　　1、利用IPC$共享漏洞进行传播，并且扫描内网中存在弱口令的主机，如果存在弱口令，则继续利用IPC$共享漏洞传播;

　　2、在域环境下，病毒会拷贝硬盘下所有的文件，并且会在C盘根目录自动生成myrarwork的一个目录，将服务器上的文件都复制到该目录下，然后将搜集到的文件，复制到C:/Documents and Settings/Administrator/My Documents/目录下的TEMP文件夹下后，该文件夹会被自动执行删除操作，根据实际测试，并没有发现上传的迹象，而原来的文件，也没有被做替换，初步怀疑，需要触发某些条件，才会进行上传。。

　　3、在安装有SecureCRT的服务器上，会在SecureCRT的安装目录中的sessions文件夹中，自动生成名字为某某zfw(某某政法网)的文件夹，会持续生成一些IP地址和信息，包括各个地市的信息，确认了一部分，这些IP地址均为交换机、路由器地址，具体生成原因以及目的不明。

　　下图为该病毒在虚拟机中的测试结果：

     

　　这是病毒释放出来的东西，看起来好有针对性。。。。

　　测试结论：1、该漏洞是利用windwos系统中远程共享来实现传播和控制，主要运行环境为局域网，受影响的系统为XP、windows2003、windows2008等服务器，win7系统默认共享权限为只读，win7系统不在影响范围之内。从上述判断中，基本可以确定，10.xx.80.20等服务器上的攻击日志，与管理员张XX(PC为10.xx.80.24)并没有直接关系，已经排除攻击者利用服务器做跳板，访问10.xx.80.24主机的可能;2、该病毒除了利用漏洞进行传播、破坏以外，还带有信息搜集的操作，具体原因不明。初步判断认为，该病毒极有可能为定制的病毒，搜集公安网内的IP段，具有一定的针对性。

　　根据管理员的口述，他所管辖的几十台服务器全部都是通用密码，包括自己的办公电脑，管理密码有三，***123、***gaj、123456等三个弱口令密码。正是因为这三个弱口令，才使得该病毒在内网中迅速蔓延起来，初步统计，受该病毒影响的服务器和个人PC，将近20多台。

　　在排除了攻击者利用肉鸡进行攻击的情况下，调查方向再次转到管理员张XX的个人办公PC上。

　　三、通过对张xx主机的系统日志进行分析如下：

　　2014年11月20日14:29分，系统开机

　　2014年11月26日8:26分 系统关机

　　2014年11月26日8:35分系统开机，一直到12月2日0点为止，未出现关机的操作，也就是说，该PC一直处于24小时开机状态。

　　11月27日晚上21：25分，出现一次本地解锁操作，一直到12月1日下午16:17分未出现其他登陆信息。

 

　　同时，在日志中并没有发现与删除记录时间相符的远程登陆记录，故排除远程桌面连接的情况。

　　数据库日志分析：

　　通过对oracle日志进行分析，11月30日21:05分连接成功，22:16分数据删除成功，23:19分09秒到23:33分08秒，平均每秒连接次数达到3-5次，查询以往几个月的数据库链接信息，最多出现1秒钟2次-3次连接，相比之下，没有30日连接频繁，数据库访问异常频繁，初步怀疑是暴力破解工具所为。。

　　但是在出现疑似暴力破解的日志前，已经有日志显示，数据库已经被成功登陆进去了，怎么还有会出现破解呢??

 

　　12月31日，对管理员张XX的内网办公PC进行进一步分析，发现该电脑中，连接数据库的工具日志，确实显示该PC在11月30日到12月1日凌晨有访问数据库的操作，所有的证据，都指向了该管理员的PC。

　　利用相关的取证工具进行取证，发现该管理员张XX的PC，与晚上22点左右有使用过光驱的操作，并且在光驱中打开了一个名字为2.rar的文件夹，并且释放过4个脚本文件，具体用途未知。

　　通过调取当天下午到凌晨的监控记录，发现张xx为晚上21点左右到达单位，凌晨3点左右离开单位，而在早晨7点左右，在该办公室的另一个IP地址上，有人登陆业务系统，查询被删除信息的操作，初步判断，在30日晚上到12月1日凌晨，有人在该办公室内利用管理员电脑，删改了数据。因为8楼和办公室均没有安装摄像头，所以无法准确判断当晚到凌晨，是谁在办公室使用电脑。且管理员张XX，对服务器和数据库服务器有绝对的控制权限，能直接删除数据库链接日志信息，如果该管理员所为，就不会存在数据库链接记录，而且监控显示，在事情发生时，该管理员并不在单位，故排除该管理员监守自盗的情况。

　　从目前所搜集到的信息，可以确定，攻击者是利用该PC机，直接登陆数据库进行操作的，具体是通过远程控制进行操作，还是直接在PC上进行控制，因为时间已久，而且U盘使用记录等操作被删除了，无法进行取证和定论，但是通过目前掌握的线索和内容，基本可以判断为，攻击确实来自IP地址为10.xx.80.24的主机。

　　删除记录时间为11月30日晚上到12月1日凌晨，发现问题时间为12月13号，接到电话的时间为12月23日上午，到达现场的时间为12月24日上午，中间间隔时间较长，且接触该PC机的人太多，无法从键盘、光驱等位置提取指纹线索，无法直接获取有力证据。

　　在12月27日左右，监控到12月1日凌晨被删除的信息，在下面的另一个派出所做了登记补录，找到链接IP地址后，到该派出所进行调查，发现出事IP为一台硬盘录像机的地址，由于该网络内并没有限制或记录MAC地址的功能，任何电脑，只要将公安网内网网线拔出，接入到个人PC后，即可伪造IP地址进行操作，因此推断，该案件为内部人所为，且为团伙作案，涉及面太广，暂时宣告终结。

　　总结：由于事发时间与通知调查时间相隔近1个月，大部分痕迹已无法提取，楼道和机房也没有任何的监控设备，无法准确找到入侵者的准确信息，任务宣告失败。

　　总体的经过就是这样。。。。

　　我贴出这个病毒的检测报告，当然了，不是我检测的，是文件B超系统这个东西检测的，感兴趣的可以看看哈。。

　　检测报告：https://www.b-chao.com/index.php/Index/show_detail/Sha1/4B013CE950A22E5CE0909A66194063BEF8804F4A

原文地址:https://hack.77169.com/201508/207996.shtm