2020年9月,网络安全监测人员发现外网门户网站短时间内遭受到严重攻击,使用大量远程代码执行漏洞等操作,试图控制服务器权限,被WAF阻断,处置人员并立即对该批IP进行封禁。
1、监测告警日志分析
在监控平台上告警发现多个IP对门户网站进行各种类型的远程代码执行攻击。
攻击告警详情如下:
2、攻击行为分析
研判分析人员对攻击IP的流量进行分析,此番攻击涉及5个攻击源IP地址攻击手法主要采用远程命令执行权限类攻击,共发起50次攻击
分析人员对这些攻击IP的日志进行分析,发现每次攻击的测试负载,回连域名都是test.XXXX.cn,所以判断这些IP的攻击来源均为同一来源。
详细特征如下:
发现攻击的测试负载回连域名地址为test.XXXX.cn,所以对test.XXXX.cn进行进一步的溯源反制。
1)域名IP定位:
查询域名真实IP为149.xxx.xxx.105,归属地为美国加利福尼亚州。
2)域名关联分析
对域名进行进一步探测发现子域名admin.XXXX。cn为常用的DNSlog平台。
通过弱口令,成功进入DNSlog平台
其配置的子域名host为test.XXXX.cn,与前面提到的攻击测试负载中域名地址一致,其攻击测试负载也恰好通过dnslog平台进行漏洞验证,因此能够证明攻击来源于admin.XXXX.cn和test.XXXX.cn。
3)攻击域名反查溯源
对域名进行whois查询发现域名属于XXXX网络有限公司
对XXXX网络有限公司进一步探查该公司主营业务为信息安全,信息技术开发并长期招聘渗透测试工程师
其官网地址:https://www.XXXXXX.com/
XXXX网络有限公司业务包含:XXXX监测系统:www.XXXXX.com
通过官网平台,获取到XXXX网络有限公司的联系电话:0XXX-8XXXX9695 4X0-8XXX9-1XXX
4)电话录音取证
通过电话沟通确认为本次攻击行为由“XXX公安局XXX”使用了XXXX网络有限公司的相关安全产品,所以导致远程命令执行漏洞的攻击测试的回源地址均指向了域名归属于湖南安数网络有限公司的“XXXX.cn”。
XXXXX公司参加了护网行动,其在网络安全攻防中使用了“XXXX网络有限公司”相关安全产品,其攻击流量中涉及到dnslog验证漏洞的测试负载均指向了XXXXX.cn域名地址,该域名地址为XXXXX网络有限公司所有。