Tường thuật Diễn tập An ninh mạng “Điều tra và xử lý website bị tấn công”

D
  • Drill_HVAN
Một số lỗi mới phát hiện được trên webserver:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_HVAN
14.177.138.195 tiến hành các việc sau:

+ tiến hành xóa file example1.php bằng cmd.

+ chạy dịch vụ service.php
+ Download file myfiles.php về máy sửa và upload trở lại server.
+ Kiểm tra website có bị lỗi XSS hay không.
+ Tiến hành dò tìm file etc/passwd
+ Thực hiện sql injection
14.177.138.195 - - [22/Mar/2016:16:17:54 +0700] "GET /?param=-1+UNION+SELECT+GROUP_CONCAT(table_name)+FROM+information_schema.tables HTTP/1.1" 200 2583 "-"

+ tạo ra một tài khoản mới user:kitty, pass:hellokitty.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 4:
- Đã vá và chỉnh sửa các lỗ hổng trên website
- Đã mở website chạy lại bình thường
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_BKDaNang
BKDaNang báo cáo:
- Hiện nay chỉ phát hiện mã độc tại file service.exe tại thư muc c:xamppphp (23/56 chương trình diệt virus phát hiện) .
- Các file khác ở thư mục files đều có khả năng có mã độc nhưng BKDangNang chưa phân tích được.
- Cách cô lập:
+ Xóa file nobita.php, sửa file upload để không cho upload file php,PHP,phP,...
+ Gỡi bỏ service.exe khỏi win startup, xóa hẳn file này ( thực ra không xóa mà chỉ rename), kill process đối với file này.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 3:
- Đã cấu hình filewall
- Đã kill service và xác minh các file liên quan và các key liên quan:
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
QTSC - Phase 2
-----
Vào firewall setting để block hết tất cả các incomming connect vào port khác 3389 (rdp) và 80 (httpd)
---
Thay đổi Virtual Host trỏ vào page bảo trì.
Tạo thư mục temp trong htdocs. Tạo file index.html (chứa nội dung trang bảo trì)
Sau đó vào conf trong apache của xampp để thay đổi root directory sang thư mục temp
Screen Shot 2016-05-19 at 11.50.43 AM.jpg

Screen Shot 2016-05-19 at 11.50.27 AM.jpg

----
Xem các file access.log và error.log trong thư mục C:xamppapachelogs và tìm các đường dẫn file shell đã scan ra trong phase 1.
Ta thấy có thông tin khả nghi sau
phase1-2.jpg

Hacker đã sử dụng shell nobita.php (từ ip 118.70.128.104 và 14.177.138.195) để move file service.exe vào C:xamppphp và xoá file example1.exe, sau đó thực thi file service.exe
Như kết luận ở phase trước, ta thấy hacker truy cập vào máy tính thông qua webshell (có thể được upload từ web app) và sử dụng nó để phát tán service.exe (có thể là mã độc).
Screen Shot 2016-05-19 at 12.00.36 PM.jpg

Up file service.exe (từ đường dẫn trên) lên virustotal để check thì thấy không có AV nào detect là malware. Tuy nhiên ta sẽ kiểm tra lại sau để đảm bảo kết luận là đúng.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_DuyTan
Update: ĐH Duy Tân báo cáo pha 2 và pha 4
Khoanh vùng IP của Hacker:
118.70.128.104
117.6.135.85
14.177.138.195
- Up shellcode nobita.php thực hiện 1 số câu lệnh điều khiển từ xa
-14.177.138.195 là kẻ Deface website

Mã:
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]Line 691: [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F14.177.138.195%2F&h=JAQFblAb_"]14.177.138.195[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px] - - [22/Mar/2016:15:51:41 +0700] "GET /files/nobita.php?cmd=C:xamppphpservice.exe HTTP/1.1" 200 140 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"[/SIZE][/FONT][/COLOR]
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]Line 6130: [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F14.177.138.195%2F&h=JAQFblAb_"]14.177.138.195[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px] - - [23/Mar/2016:03:43:37 +0700] "GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1" 200 26 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; rv:45.0) Gecko/20100101 Firefox/45.0"[/SIZE][/FONT][/COLOR]
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]Line 6830: [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F113.160.58.10%2F&h=JAQFblAb_"]113.160.58.10[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px] - - [26/Apr/2016:15:49:44 +0700] "GET /files/nobita.PHP HTTP/1.1" 200 36 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.87 Safari/537.36"[/SIZE][/FONT][/COLOR]
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]Line 7672: [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F113.161.70.66%2F&h=JAQFblAb_"]113.161.70.66[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px] - - [19/May/2016:10:06:44 +0700] "GET /files/nobita.PHP?cmd=net%20user%20kitty%20hellokitty HTTP/1.1" 404 1064 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.94 Safari/537.36"[/SIZE][/FONT][/COLOR]
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]Line 7721: [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F113.161.70.66%2F&h=JAQFblAb_"]113.161.70.66[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px] - - [19/May/2016:10:42:35 +0700] "GET /files/nobita.PHP?cmd=dir HTTP/1.1" 404 1064 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.94 Safari/537.36"
./error.log:[Wed Mar 23 03:43:37.336980 2016] [dumpio:trace7] [pid 480:tid 1580] mod_dumpio.c(100): [client [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F14.177.138.195%3A9482%2F&h=JAQFblAb_"]14.177.138.195:9482[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px]] mod_dumpio: dumpio_in (data-HEAP): GET /files/nobita.php?cmd=move%20index.HTML%20C:xampphtdocs HTTP/1.1
[/SIZE][/FONT][/COLOR]
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]./error.log:[Wed Mar 30 09:16:21.593750 2016] [dumpio:trace7] [pid 472:tid 1584] mod_dumpio.c(100): [client [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F117.6.135.85%3A64605%2F&h=JAQFblAb_"]117.6.135.85:64605[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px]] mod_dumpio: dumpio_in (data-HEAP): GET /files/nobita.php?cmd=C:xamppphpservice.exe HTTP/1.1
[/SIZE][/FONT][/COLOR]
[COLOR=#4B4F56][FONT=helvetica][SIZE=14px]./error.log:[Tue Apr 26 15:49:44.913598 2016] [dumpio:trace7] [pid 948:tid 1588] mod_dumpio.c(100): [client [/SIZE][/FONT][/COLOR][URL="http://l.facebook.com/l.php?u=http%3A%2F%2F113.160.58.10%3A2460%2F&h=JAQFblAb_"]113.160.58.10:2460[/URL][COLOR=#4B4F56][FONT=helvetica][SIZE=14px]] mod_dumpio: dumpio_in (data-HEAP): GET /files/nobita.PHP HTTP/1.1
[/SIZE][/FONT][/COLOR]

Đã fix source các module dính lỗi như login.php, upload.php,register.php... và xóa đi các shellcode đã được up
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
[h=2]Gợi ý trả lời Pha 4:[/h] Xác định và vá lỗ hổng website
• Xác định lỗ hổng: Để xác định được hacker đã lợi dụng module nào để tải file độc hại lên server, chúng ta cần phải phân tích file log và điều tra xem file shell đã được tải lên thông qua module nào. Sau khi xác định được module có lỗ hổng các đội tiến hành đọc mã nguồn để tìm hiểu nguyên nhân phát sinh lỗ hổng để đưa ra các phương án khắc phục.
• Rà soát bằng tay hoặc sử dụng một số công cụ quét lỗ hổng để rà soát lại toàn bộ các module (website được xây dựng với nhiều lỗ hổng phổ biến để các đội rèn luyện khả năng kiếm, khai thác và xử lý lỗ hổng. BTC sẽ không nêu ra các lỗ hổng khác trên website)
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
QTSC - Phase 3
---
Xoá các file độc hại
- Shell: Trong thư mục files. Xoá tất cả các file có đuôi là .php (hoa / thường).
- Dùng process explorer để kiểm tra service.exe có đang chạy hay không. Kill process
- Xoá file service.exe trong thư mục C:Xamppphp
- Dùng CCleaner để check autorun / và auto service (khởi động cùng windows). Xoá các ứng dụng khả nghi
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
[h=2]Gợi ý trả lời Pha 5:[/h] Điều tra nguồn tấn công

• Thông tin cuộc tấn công :
 Do đặc điểm của mã độc không kết nối thường xuyên đến C&C server nên không dùng được cách monitor các kết nối ra ngoài mà cần sử dụng các công cụ để dịch ngược mã nguồn và tìm ra địa chỉ server điều khiển
 Phân tích hành vi của các file shell đã thực hiện việc tải mã độc về server, từ đó xác định địa chỉ tải mã độc.

• Một số cơ quan chức năng, chuyên môn khi cần trợ giúp:
 Cơ quan cảnh sát phòng chống tội phạm sử dụng công nghệ cao.
 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT).
 Đơn vị chuyên môn, Ví dụ: Bkav.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
BTC mở Pha 6

Pha 6: Tổng hợp và báo cáo


Các đội gửi báo cáo theo mẫu ban tổ chức đã chuẩn bị theo địa chỉ [email protected]. (Download mẫu báo cáo tại đây)

Các đội có thể gửi báo cáo cho BTC từ bây giờ và muộn nhất vào lúc 16:00 ngày 19/05/2016.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 5:
- Không phát hiện máy chủ điều khiển từ bên ngoài

- Các hành vi của service.exe:

- service.jpg

- Tiến hành kiểm tra virut:

virut.jpg

virut.jpg
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Pha 4:
- Fix lỗi upload
File upload.php : Line 22
Thay if (($_FILES["file"]["size"] < 2097152) && !in_array($Extension, $BlackListExts)) thành if (($_FILES["file"]["size"] < 2097152) && !in_array(strtolower($Extension), $BlackListExts))
- Dữ liệu chưa được filter khi thao tác với database, tất cả dữ liệu nên sử dụng function escape data của mysqsli trước khi thao tác với database. Khi thực hiện thao tác download or delete file nên thêm function intval(file_id) trước khi thao tác database.

Pha 5: 118.70.128.104 và 14.177.138.195 là địa chỉ IP tải mã độc
Untitled.jpg

 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
D
  • Drill_DuyTan
Đh Duy Tân đã nộp báo cáo, admin vui lòng check mail !
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Drill_DuyTan;n56829 đã viết:
Đh Duy Tân đã nộp báo cáo, admin vui lòng check mail !

BTC đã nhận được, cảm ơn đội ĐH Duy Tân.
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên