前几天接多地反馈,服务器被入侵,追究到文件STUPdater.exe这个身上,目前安装DBNT的用户如果中招了,微信应该收到告警信息了.这个入侵的具体想做什么就不分析了.很多人不知道怎么入侵进来的.
我们通过调服务器日志,调取上网记录,视频监控等方法最终猜确定是有人到网吧上机后,执行了特定的成品入侵工具进行入侵的.
首先该攻击针对目前网吧三大管理平台:顺网 易乐游 云更新
1.png (186.71 KB, 下载次数: 3)
2020-6-23 15:39 上传
从以上代码也可以观察到针对的三大平台.
下面我们以顺网系的日志讲解为主:
2.png (267.35 KB, 下载次数: 6)
2020-6-23 15:40 上传
我们看到日志里含有 OnRecvBsAgentLoginPkt登陆等字样,基本可以确定此时开始执行的入侵,日志往上翻出现了局域网广播包,我们猜测应该是入侵工具在寻找顺网无盘产品的主服务器.
当登陆日志出现后,基本可以确定,入侵工具已经开始正式的执行了,version版本显示重复ab字样应该是模拟登陆的,入侵的关键点应该就在此处.version后显示的登陆机器IP 来自于网吧局域网的IP,我们通过查询发现该用户上机是临时卡的方式,且只上机了5分钟就下机了.
3.png (206.62 KB, 下载次数: 6)
2020-6-23 15:40 上传
此时我们再次来看日志,发现了上传了程序,Rev File表示接收到了相关文件,此时我们再去寻找这个文件的时候发现文件已经不存在,猜测应该是执行完毕之后删除了.只留存了文件夹.
4.png (17.63 KB, 下载次数: 6)
2020-6-23 15:40 上传
从上面可以观察到创建文件的时间.与日志基本吻合.具体的日志相关我们就分析到此.不再深入探讨.
5.png (3.55 KB, 下载次数: 9)
2020-6-23 15:41 上传
上面是我们通过计费查询到的登陆上机信息.关键部分已经自动星号显示,以上上机信息与本事件无关,传错了图片
然后我们再去查一台安装了sysmon的服务器.日志部分不再截图显示基本与上方相同.
6.png (147.82 KB, 下载次数: 2)
2020-6-23 15:41 上传
sysmon日志的开始是替换了TransferFilePatch.exe,等我们查这个文件的时候,这个文件已经没任何问题,数字签名都是正常的.
7.png (226.84 KB, 下载次数: 3)
2020-6-23 15:41 上传
8.png (12.39 KB, 下载次数: 3)
2020-6-23 15:41 上传
这个时候开始执行了STUPdater.exe程序,这个程序会释放远程工具.
9.png (272.67 KB, 下载次数: 3)
2020-6-23 15:41 上传
这个时候开始添加任务计划.
10.png (291.14 KB, 下载次数: 5)
2020-6-23 15:42 上传
11.png (313.18 KB, 下载次数: 3)
2020-6-23 15:42 上传
12.png (314.71 KB, 下载次数: 2)
2020-6-23 15:43 上传
13.png (236.95 KB, 下载次数: 6)
2020-6-23 15:43 上传
这个时候入侵的程序已经能完全控制服务器了.服务器已经成为了傀儡,我们从逆向分析中暂时未发现程序执行了其他操作,因为服务器已经成为了傀儡随时接受云端的指令.
到此,基本分析已经差不多,目前暂时还未研究相关解决方案,当然等待三大产商的解决方案是最保险的.目前从日志看来以封堵相关产品端口最为安全.具体封堵什么端口还需要大家自行研究.
最后提示大家:这次入侵皆有人到网吧内上机执行了恶意程序,并非所谓的远程入侵.没有必要这么恐慌.
感谢收看.谢谢~
扫一扫
1004
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
