记一次略坑的应急响应事件
2023-2-7 00:4:19 Author: 橘猫学安全(查看原文) 阅读量:12 收藏

应急响应是信息安全工作中重要的一环,但有时也会因为客户对“黑客”攻击的“恐惧”心理,从而产生很多啼笑皆非的应急响应事件。

情况简介现场排查分析结果分析结论

情况简介

2020年某日,我方接到某单位网络安全负责人反馈,该单位windows服务器出现多次登录无法登录成功且该服务器为该单位重要服务器,事出紧急,现场工作人员怀疑该服务器账号密码被黑客更改,需要我方技术团队进行现场支持。

现场排查

经过60分钟后到达客户现场,再次与网络安全负责人确认情况,得到信息与电话沟通内容一致。立刻进入机房进行现场分析,首先对该机器进行物理断网和密码重置,随后使用安全工具对系统进行入侵排查和病毒木马检测,以下为机房现场情况:

(我在这里露个脚(。・_・。)ノI’m sorry~)

对该机器进行物理断网后,进入BIOS,设置从U盘启动:

进入pe对系统密码进行更改处理,主机登录成功,并对系统存在账户进行排查未发现可疑账户:

3.对系统计划任务、进程运行、主引导区记录等多个项目进行完整检查:

3.排查定时任务,并且跟现场工作人员核对,未发现其他非工作人员创建的定时任务

4.排查系统防火墙,日志审核策略及日志留存情况,并将日志做导出备份处理:

5.跟主机安全负责人、网络负责人及该主机使用方做相关询问得出以下信息:

设备IP:172.xx.xx.xx/24

设备网关:172.xx.xx.1

系统管理及使用方登录方式:连接vpn后使用windows远程桌面连接

系统使用方登录时间:2020年8月6日18:30—19:00

主机管理方登录时间:2020年8月7日8:30—9:00

计划任务:使用方自己的正常业务

系统使用方最后一次登录时间:3个月前

分析结果

1.基于该主机自身情况进行分析

(1)调查该主机自身感染病毒木马情况:人工分析未发现系统感染恶意病毒木马特征,无可疑账户、克隆账户、可疑计划任务,未发现入侵现象。

(2)系统日志分析情况:对近期系统登录成功与失败日志进行排查,如下图所示:

(3)使用logparse进行日志分析:

分析结论

8月7日8:30-9:00间多次登录失败,并非攻击者更改密码所致,实际为登录用户名输入错误所致(正确用户名为administrator用户使用用户名为Lenovo,推测为用户远程登录时未修改登录默认用户名信息,导致用户名为个人pc用户名)。根据日志该系统最后一次远程桌面登录为2020年5月6日,与系统使用方描述一致。

本文作者:追鳄小组_return0, 转载请注明来自FreeBuf.COM

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247503260&idx=2&sn=874c87c3a2effd0173a85183ab4ae84d&chksm=c04d4aa2f73ac3b4e9ce15c1d8a90a454a3422489337d14c9f32b1b38f3714c2f52edcab3fd6#rd
如有侵权请联系:admin#unsafe.sh