应急响应案例

案列一

事件概述

• 单位公网IP外联境外恶意IP地址

准备工作

• 对攻击者IP和受害者IP进行信息收集

• 攻击者：83.38.4.136 西班牙 动态IP 傀儡机 垃圾邮件

• 受害者：A.A.A.A 开放端口 443/https、161/snmp 、23/telent f访问界面为单位出口设备管理界面

现场调研

• 梳理网络拓扑，明确数据流向，拓扑图简单，运营商进机房，转网线接路由器，下联核心交换机，网络中无业务服务器，全是终端计算机

应急处置

• 登录路由器后，添加封禁策略

处置验证

• 通过ping判断是否成功（锐捷路由器需在接口里面调用ACL）

溯源分析和优化加固

• 在授权情况下，登录设备采集分析日志 sudo journalctl -u systemd-logind | grep “Login succeeded” 发现900余次异常登录，登录IP（国外IP）均为公网傀儡机，最早为2月26日，登录行为具备爆破性，当前设备口令偏弱，协助修改为强口令

事件成因

• 现在设备日志保存不全，且没开启上网审计功能，无法深入溯源，对发现的问题进行了现场协助完成加固调整，后续对互联网终端进行全盘查杀

应用总结

• 对路由器出口封禁IP地址，禁止公网侧对出口路由器的Web访问，外暴露telent、snmp端口，修改设备账号密码为强口令，开启全部审计模块

安全建议

• 全面排查互联网终端资产、安装杀毒软件并全盘查杀，定期查杀
• 加强安全防护能力，应用层缺少防护设备，部署防火墙开启入侵防御、防病毒等模块（初级防火墙就行、 整体上网带宽不是很大）
• 增强安全监测能力

案例二

事件概述

• 某单位终端外联恶意域名事件
• 2022年9月13号，我方收到客户的安全分析需求，通过态势感知平台协作被监管单位通报的IP地址，锁定源IP所处的办公室，有现场的运维工程师进行紧急的病毒查杀和IP封禁，第二天去现场进行溯源，并出具安全事件工单与应急响应报告。

准备工作

• 攻击者：63.251.106.25 美国 德克萨斯州 达拉斯 情报标签：恶意软件、远控木马 （初步判断中毒）
• 受害者：B.B.B.B（内网IP地址） 通过IP地址定位到设备
• 其他地址：A.A.A.A 源NAT前为B.B.B.B

溯源分析

• 通过排查态势感知日志，发现在2022-8-13 B.B.B.B对63.251.106.25：80发起会话连接，连接时间和受害终端开机时间契合，源IP出防火墙被转化为A.A.A.A，为通报地址，在日志中发现访问的目标：http://fionades.com/ABIUS/setup.exe（远控、恶意软件、Virut病毒Sinkhole、Sality感染型病毒），该地址对应的解析地址为上述IP，可以判断没有下载恶意文件，但触发了请求，整体的会话时间持续到了2022-8-23 10点，和受害者关机时间契合。对比终端系统的日志和态势感知设备日志，这台终端没有问题
• 在2022年9月13日，终端负责人用火绒进行了病毒查杀，完成了紧急处置，将检测后的文件从隔离区拿出来，通过检索目标IP确定会话日志
• 将提取的病毒文件进行检测，发现system volume information.exe 病毒文件在执行时会在受害者终端的C:\programdata\下创建CacheMgr.exe可执行文件。在虚拟机中执行该文件，触发了恶意域名访问，地址为态势感知平台记录地址，源头是该终端导致的

横向排查

• 通过态势感知设备，以受害者为源进行日志查询，近三个月未发现该终端对其他内网设备发起过攻击，暂未发现数据泄露的痕迹
• 通过态势感知设备，以攻击者为目标进行日志查询，发现在2022-9-13 11点期间，源IPX.X.X.X 、X.X.X.X 对63.251.106.25也发起过连接

实践成因

• 受害终端为安装杀毒软件，疑似通过U盘等传播感染病毒文件，感染后会创建可执行程序，并访问恶意地址发起请求，该域名解析之后的IP地址为63.251.106.25,因此导致本次安全事件产生

应急处置

• 封禁恶意IP
• 封禁恶意域名（最佳办法）
• 受害者终端进行二次病毒查杀，并未杀出新的病毒

安全建议

• 下发安全通报至X.X.X.X，定位中毒设备进行病毒查杀
• 终端计算机与服务器安装使用专业的杀毒软件、定期进行病毒查杀
• 规范U盘的使用，插入存储介质是要进行实时查杀
• 增强人员安全意思，对不明网站要谨慎点击访问，避免下载恶意文件
• 建议增强终端管控，统一查杀管控，审计终端异常操作行为
• 建议增强APT攻击监测能力