Tường thuật Diễn tập An ninh mạng “Điều tra và xử lý website bị tấn công”

Đội mình mới nên còn non và chậm quá, tìm ra xong đã sang pha 2 rồi.

 

Cập nhật tiến độ ĐH Duy Tân

Đã thay đổi giao diện trang chủ và thông báo bảo trì
Phát hiện có shell nobita.PHP trong thư mục files (thư mục upload của người dùng)
Đã sửa xong fix xong lỗi Sql
Đang tiến hình sửa các lỗi ở file upload.php

 

Pha 2:
- Xóa toàn bộ các mã độc tìm thấy
- Chuyển nội dung website về trang bảo trì, bằng cách thêm vào navibar.php đoạn code bên dưới

header("Location: index.html"); / Redirect browser /
exit();

Hoặc bằng cách tạo file .htaccess đặt ở thư mục root

RewriteEngine on
RewriteCond %{REQUEST_URI} !^/index.html$
RewriteRule (.*) http://drill05.whitehat.vn/index.html [R=307,L]

- Phân tích log tại thư mục 103.237.98.120c$xamppapachelogs, đặc biệt chú ý access.log và error.log. Trong file access.log, ba IP thuộc diện nguy hiểm 14.177.138.195, 117.6.135.85 và 118.70.128.104 đã sử dụng chức năng upload file và đưa thành công backdoor lên hệ thống, sau đó tiến hành deface bằng hành động như bên dưới.

118.70.128.104 - - [23/Mar/2016:03:43:15 +0700] "GET /files/cmd=move%20index.HTML%20C:%5Cxampp%5Chtdocs%5C HTTP/1.1" 404 1059 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

- Hacker tải lên server một file thực thi service.exe tại đường dẫn C:xamppphpservice.exe, bằng hành động như bên dưới

14.177.138.195 - - [22/Mar/2016:15:51:41 +0700] "GET /files/nobita.php?cmd=C:xamppphpservice.exe HTTP/1.1" 200 140 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

- Kiểm tra file này trên virustotal, ta có kết quả như bên dưới

 

[h=2]BTC mở Pha 2[/h] [h=2]Pha 2: Phân tích và cô lập hiện trường[/h] Kịch bản: Đội ứng cứu phân tích logs web và lấy mẫu mã độc, file shell để phục vụ cho quá trình điều tra cũng như ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.
Mục tiêu:

• Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường. Trong môi trường diễn tập sử dụng máy ảo các đội cần cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và cổng dịch vụ web (80) đồng thời cấu hình dịch vụ web chỉ trỏ Virtual Host về trang bảo trì.
• Điều tra, phân tích hiện trường để tìm kiếm các file shell, phân tích hành vi của nó và xác định con đường lây nhiễm mã độc.

Thời gian thực hiện: 30’
Công cụ tham khảo (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):

• Tools hỗ trợ phân tích log: Notepad++,Log Parser Studio…

Tools rà soát mã độc: Process Monitor, PC hunter …

 

Pha 2:

1. Đã tiến hành cấu hình filewall chỉ mở cổng 80,3389, đã trỏ website về Virtual Host chỉ có file thông báo bảo trì.
2. Tiến hành kiểm tra logs truy cập tại C:xamppapachelogs

• IP hacker tấn công 14.177.138.195, 118.70.128.104
• Hacker lợi dụng lỗ hổng kiểm tra đuôi file để upload file có đuôi viết hoa lên hệ thống
• Hacker upload file nobita.PHP chứa lệnh thực thi cmd và index.HTML
• Hacker dùng shell move file index.HTML sang thư mục gốc của website để thay đổi trang chủ.
• Hacker tài lên server file service.exe và thực thi file này.

 

Drill_QTSC - Phase 1
-----
Nén thư mục chưa sources / tạo backup cho database / lưu http log sang 1 thư mục khác

Đổi trang index sang bảo trì


Thêm vào naviBar.php code php sau:
header('Location: index.html');

Dùng NeoPi / Web Shell Detector để kiểm tra webshell trên source code


Check bằng tay ta thấy có nhiều webShell (PHP) trong thưu mục files

Kiểm tra process list / tcp listenner không thấy process lạ hoặc port lạ bị mở

Từ các dấu hiệu trên ta khoanh vùng bị hack có thể là do webshell của hacker up lên.

 

Pha 2:
- Xóa toàn bộ các mã độc tìm thấy
- Chuyển nội dung website về trang bảo trì, bằng cách thêm vào navibar.php đoạn code bên dưới

header("Location: index.html"); / Redirect browser /
exit();

Hoặc bằng cách tạo file .htaccess đặt ở thư mục root

RewriteEngine on
RewriteCond %{REQUEST_URI} !^/index.html$
RewriteRule (.*) http://drill05.whitehat.vn/index.html [R=307,L]

- Phân tích log tại thư mục 103.237.98.120c$xamppapachelogs, đặc biệt chú ý access.log và error.log. Trong file access.log, ba IP thuộc diện nguy hiểm 14.177.138.195, 117.6.135.85 và 118.70.128.104 đã sử dụng chức năng upload file và đưa thành công backdoor lên hệ thống, sau đó tiến hành deface bằng hành động như bên dưới.

118.70.128.104 - - [23/Mar/2016:03:43:15 +0700] "GET /files/cmd=move%20index.HTML%20C:%5Cxampp%5Chtdocs%5C HTTP/1.1" 404 1059 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

- Hacker tải lên server một file thực thi service.exe tại đường dẫn C:xamppphpservice.exe, bằng hành động như bên dưới

14.177.138.195 - - [22/Mar/2016:15:51:41 +0700] "GET /files/nobita.php?cmd=C:xamppphpservice.exe HTTP/1.1" 200 140 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"

- Kiểm tra file này trên virustotal, ta có kết quả như bên dưới

 

Drill_QTSC - Phase 1
-----
Nén thư mục chưa sources / tạo backup cho database / lưu http log sang 1 thư mục khác

Đổi trang index sang bảo trì


Thêm vào naviBar.php code php sau:
header('Location: index.html');

Dùng NeoPi / Web Shell Detector để kiểm tra webshell trên source code


Check bằng tay ta thấy có nhiều webShell (PHP) trong thưu mục files

Kiểm tra process list / tcp listenner không thấy process lạ hoặc port lạ bị mở

Từ các dấu hiệu trên ta khoanh vùng bị hack có thể là do webshell của hacker up lên.

 

- Khắc khai thác lỗi file upload trên server:
Đưa file .htaccess vào thư mục upload để cho up lên nhưng ko run đc
file .htaccess:

- Khoanh vùng kẻ tấn công:
118.70.128.104
117.6.135.85
14.177.138.195
113.161.70.66
118.70.128.104 là khả năng cao nhất
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" -> Đây là kẻ tấn công upload shell nobita.PHP

 

[h=2]Yêu cầu Pha 3

Pha 3: Phân tích và xử lý các thành phần độc hại đã được cài lên server[/h] Kịch bản: Phân tích shell, các tiến trình, file, key khởi động để phát hiện được các thành phần của mã độc trên server. Phân tích hành vi của mã độc để khoanh vùng, theo dõi các kết nối đến server. Sau đó xử lý mã độc ra khỏi server bị nhiễm bằng cách loại bỏ tiến trình, xóa file shell, xóa key khởi động
Mục tiêu:

• Xác định và xử lý được đầy đủ các thành phần của mã độc
  • File shell hacker đã tải lên server
  • Tiến trình của mã độc
  • File của mã độc
  • Thành phần đăng ký khởi động cùng server của mã độc
• Thu thập tất cả các thành phần file độc hại và gửi về ban tổ chức (Gửi dưới dạng file nén với tên vào địa chỉ [email protected]).
• Phân tích được các hành vi của shell và mã độc (Đây là phần nâng cao để các đội rèn luyện kỹ năng dịch ngược mã độc. BTC sẽ không đánh giá phần này).

Thời gian thực hiện: 40’ [h=2]Công cụ tham khảo (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):[/h] [h=2]· Đọc mã nguồn web shell: Notepad++, Sublime Text…[/h] Tools phân tích mã độc: Autostart program viewer, debugger (ollydbg, IDA)…

 

Báo cáo:
Đã

• Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường. Trong môi trường diễn tập sử dụng máy ảo các đội cần cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và cổng dịch vụ web (80) đồng thời cấu hình dịch vụ web chỉ trỏ Virtual Host về trang bảo trì.

 

[h=2]Pha 4: Xác định và vá lỗ hổng website[/h] Kịch bản: Ở pha thứ 2 các đội đã xác định được hacker đã tấn công thông qua lỗ hổng website. Đội ứng cứu cần xác định chính xác lỗ hổng bị khai thác, vá lỗ hổng này để tránh hacker tấn công trở lại.
Mục tiêu:

• Xác định được lỗ hổng mà hacker đã sử dụng để tấn công, vá các lỗ hổng này.
• Rà soát và vá các lỗ hổng ở module khác của website (bước này giúp các đội rèn luyện khả năng tìm kiếm và xử lý lỗ hổng trên website. BTC sẽ không đánh giá phần này).

Thời gian thực hiện: 30’ [h=2]Công cụ tham khảo (có thể tải các tools đã được kiểm tra virus tại tools.whitehat.vn):[/h]

• Công cụ chỉnh sửa code: Notepad++, Sublime Text…

Công cụ pentest website: Acunetix (có phí), Nmap, Burp Suite…

 

[h=2]Pha 5: Điều tra nguồn tấn công[/h] Kịch bản: Sau khi phân tích shell và mã độc, tìm ra chi tiết thông tin server điều khiển, địa chỉ tải mã độc. Sau đấy gửi yêu cầu trợ giúp điều tra tới các cơ quan chức năng. Gửi cảnh báo tới các cơ quan đơn vị khác để đề cao cảnh giác.
Mục tiêu:

• Xác định được đầy đủ thông tin của cuộc tấn công
  • IP Server điều khiển, địa chỉ tải mã độc.
• Biết các cơ quan chức năng để liên hệ phối hợp hỗ trợ.

Thời gian thực hiện: 20’

 

Update ĐH Duy Tân

Đã fix xong lỗi upload file extension
Đã fix xong lỗi upload.php

 

- Khắc khai thác lỗi file upload trên server:
Đưa file .htaccess vào thư mục upload để cho up lên nhưng ko run đc
file .htaccess:

- Khoanh vùng kẻ tấn công:
118.70.128.104
117.6.135.85
14.177.138.195
113.161.70.66
118.70.128.104 là khả năng cao nhất
14.177.138.195 - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0" -> Đây là kẻ tấn công upload shell nobita.PHP