Tường thuật Diễn tập An ninh mạng tháng 8/2016: “Điều tra và xử lý website bị tấn công”
- Bắt đầu sunny
- Ngày bắt đầu
Yêu cầu Pha 2: [h=2]Phase 2: Phân tích và cô lập hiện trường[/h] Kịch bản: Đội ứng cứu phân tích logs web và lấy mẫu mã độc, file shell để phục vụ cho quá trình điều tra cũng như ngăn chặn không cho hacker tiếp tục xâm nhập vào máy tính trong thời điểm phân tích.
Mục tiêu:
Mục tiêu:
- Cô lập được máy tính khỏi Internet để tránh bị thay đổi hiện trường. Trong môi trường diễn tập sử dụng máy ảo các đội cần cấu hình firewall để chỉ mở duy nhất cổng remote (3389) và cổng dịch vụ web (80) đồng thời cấu hình dịch vụ web chỉ trỏ Virtual Host về trang bảo trì.
- Điều tra, phân tích hiện trường để tìm kiếm các file shell, phân tích hành vi của nó và xác định con đường lây nhiễm mã độc.
Comment
Các bước xử lý của Đội Ứng cứu Thanh Hóa
Kiểm tra các malware khác trên máy qua tool Process Explorer
chrome.exe Tiến trình này không có chữ ký, không có thông tin version và không có mô tả.
38/54 báo trên VirusTotal
Ngoài ra đường dẫn của chương trình lại nằm ở thư mục “C:xamppmysqlchrome.exe”
mã độc này sao chép chính nó vào C:/Windows/System32
Kiểm tra kết nối từ máy chủ điều khiển có địa chỉ
104.238.161.218 taị port 53 và 80
Xem qua IP Location nghi vấn đến từ Nhật
Kiểm tra các malware khác trên máy qua tool Process Explorer
chrome.exe Tiến trình này không có chữ ký, không có thông tin version và không có mô tả.
38/54 báo trên VirusTotal
Ngoài ra đường dẫn của chương trình lại nằm ở thư mục “C:xamppmysqlchrome.exe”
mã độc này sao chép chính nó vào C:/Windows/System32
Kiểm tra kết nối từ máy chủ điều khiển có địa chỉ
104.238.161.218 taị port 53 và 80
Xem qua IP Location nghi vấn đến từ Nhật
Comment
CÁC BƯỚC PHÁT HIỆN VÀ XỬ LÝ CỦA STTTT LÀO CAI:
1. Phát hiện file index.html đã bị chèn làm thay đổi nội dung
2. Tạo file html tĩnh với nội dung website đang bảo trì
3. Dùng tool process explorer để phát hiện tiến trình chrome đã được khởi động cùng window trong thư mục C:/Xampp/mysql
Sau đó kill process này.
4. Dùng tool shell detector quét thư mục web root để phát hiện ra file myfiles.php có lỗ hổng để hacker lợi dụng upload file
1. Phát hiện file index.html đã bị chèn làm thay đổi nội dung
2. Tạo file html tĩnh với nội dung website đang bảo trì
3. Dùng tool process explorer để phát hiện tiến trình chrome đã được khởi động cùng window trong thư mục C:/Xampp/mysql
Sau đó kill process này.
4. Dùng tool shell detector quét thư mục web root để phát hiện ra file myfiles.php có lỗ hổng để hacker lợi dụng upload file
Comment
Bình Dương đã hoàn tất virtual host, kết quả phân tích shell pha 1:
C:\tool>shelldetect.py -d C:\xampp\htdocs\files
********************************************************************************
*****************
*
*
* Welcome to Shell Detector Tool 1.1
*
* More information can be found here
*
* http://www.shelldetector.com
*
*
*
********************************************************************************
*****************
Starting file scanner, please be patient file scanning can take some time.
Number of known shells in database is: 604
File scan done, we have: 9 files to analyze
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\beauty.PHP
Full path: C:\xampp\htdocs\files\beauty.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 12:35:20 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\firefox.PHP
Full path: C:\xampp\htdocs\files\firefox.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:12:01 2016
Filesize: 158.8 KB
Suspicious function used: ['system'](line: 148)
Suspicious function used: ['eval'](line: 180)
Suspicious function used: ['exec', 'exec', 'exec'](line: 419)
Suspicious function used: ['`$cmd`'](line: 420)
Suspicious function used: ['system', 'system', 'system'](line: 421)
Suspicious function used: ['passthru', 'passthru', 'passthru'](line: 422)
Suspicious function used: ['popen'](line: 423)
Suspicious function used: ['eval'](line: 553)
Suspicious function used: ['`".$tab."`'](line: 604)
Suspicious function used: ['`".$tab."`'](line: 606)
Suspicious function used: ['`$tab`'](line: 613)
Suspicious function used: ['`$tab`', '`".$keys."`'](line: 622)
Suspicious function used: ['`".$k."`'](line: 656)
Suspicious function used: ['`".$name."`'](line: 697)
Suspicious function used: ['`".addslashes($db)."`'](line: 708)
Suspicious function used: ['`".$v."`'](line: 1032)
Suspicious function used: ['`".$v."`'](line: 1033)
Suspicious function used: ['`".$v."`'](line: 1035)
Suspicious function used: ['`".$v."`'](line: 1036)
Suspicious function used: ['`".$v."`'](line: 1037)
Suspicious function used: ['`".$v."`'](line: 1038)
Suspicious function used: ['`".$sql_tbl."`', '`".$sql_tbl."`'](line: 1039)
Suspicious function used: ['`".addslashes($v)."`'](line: 1046)
Suspicious function used: ['`".$sql_tbl."`'](line: 1052)
Suspicious function used: ['`".$sql_tbl."`'](line: 1059)
Suspicious function used: ['`".$sql_tbl."`'](line: 1144)
Suspicious function used: ['`".$sql_tbl."`'](line: 1147)
Suspicious function used: ['`".$e[1]."`'](line: 1162)
Suspicious function used: ['`".$sql_tbl."`'](line: 1165)
Suspicious function used: ['`".$sql_tbl."`'](line: 1185)
Suspicious function used: ['`".$name."`'](line: 1245)
Suspicious function used: ['`".$sql_tbl."`'](line: 1257)
Suspicious function used: ['`".$row["Name"]."`', '`".$row["Name"]."`'](line:
1291)
Suspicious function used: ['base64_decode'](line: 1577)
Suspicious function used: ['base64_decode'](line: 1578)
Suspicious function used: ['base64_decode'](line: 1581)
Suspicious function used: ['System'](line: 1606)
Suspicious function used: ['base64_decode'](line: 1625)
Suspicious function used: ['system'](line: 1647)
Suspicious function used: ['eval'](line: 2375)
Suspicious function used: ['eval'](line: 2377)
Suspicious function used: ['eval', 'eval'](line: 2386)
Suspicious function used: ['eval', 'eval'](line: 2404)
Suspicious function used: ['eval', 'eval', 'eval'](line: 2412)
Suspicious function used: ['base64_decode'](line: 2518)
Suspicious function used: ['parse_ini_file'](line: 2541)
Suspicious function used: ['base64_decode'](line: 2564)
Suspicious function used: ['base64_decode'](line: 2994)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\kidding.PHP
Full path: C:\xampp\htdocs\files\kidding.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:24:58 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\OK.PHP
Full path: C:\xampp\htdocs\files\OK.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:20:26 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\wtf.PHP
Full path: C:\xampp\htdocs\files\wtf.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:13:24 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Status: 5 suspicious files and 0 shells
********************************************************************************
*****************
*
*
* In case you need help email us at [email protected]
*
*
*
********************************************************************************
*****************
C:\tool>shelldetect.py -d C:\xampp\htdocs\files
********************************************************************************
*****************
*
*
* Welcome to Shell Detector Tool 1.1
*
* More information can be found here
*
* http://www.shelldetector.com
*
*
*
********************************************************************************
*****************
Starting file scanner, please be patient file scanning can take some time.
Number of known shells in database is: 604
File scan done, we have: 9 files to analyze
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\beauty.PHP
Full path: C:\xampp\htdocs\files\beauty.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 12:35:20 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\firefox.PHP
Full path: C:\xampp\htdocs\files\firefox.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:12:01 2016
Filesize: 158.8 KB
Suspicious function used: ['system'](line: 148)
Suspicious function used: ['eval'](line: 180)
Suspicious function used: ['exec', 'exec', 'exec'](line: 419)
Suspicious function used: ['`$cmd`'](line: 420)
Suspicious function used: ['system', 'system', 'system'](line: 421)
Suspicious function used: ['passthru', 'passthru', 'passthru'](line: 422)
Suspicious function used: ['popen'](line: 423)
Suspicious function used: ['eval'](line: 553)
Suspicious function used: ['`".$tab."`'](line: 604)
Suspicious function used: ['`".$tab."`'](line: 606)
Suspicious function used: ['`$tab`'](line: 613)
Suspicious function used: ['`$tab`', '`".$keys."`'](line: 622)
Suspicious function used: ['`".$k."`'](line: 656)
Suspicious function used: ['`".$name."`'](line: 697)
Suspicious function used: ['`".addslashes($db)."`'](line: 708)
Suspicious function used: ['`".$v."`'](line: 1032)
Suspicious function used: ['`".$v."`'](line: 1033)
Suspicious function used: ['`".$v."`'](line: 1035)
Suspicious function used: ['`".$v."`'](line: 1036)
Suspicious function used: ['`".$v."`'](line: 1037)
Suspicious function used: ['`".$v."`'](line: 1038)
Suspicious function used: ['`".$sql_tbl."`', '`".$sql_tbl."`'](line: 1039)
Suspicious function used: ['`".addslashes($v)."`'](line: 1046)
Suspicious function used: ['`".$sql_tbl."`'](line: 1052)
Suspicious function used: ['`".$sql_tbl."`'](line: 1059)
Suspicious function used: ['`".$sql_tbl."`'](line: 1144)
Suspicious function used: ['`".$sql_tbl."`'](line: 1147)
Suspicious function used: ['`".$e[1]."`'](line: 1162)
Suspicious function used: ['`".$sql_tbl."`'](line: 1165)
Suspicious function used: ['`".$sql_tbl."`'](line: 1185)
Suspicious function used: ['`".$name."`'](line: 1245)
Suspicious function used: ['`".$sql_tbl."`'](line: 1257)
Suspicious function used: ['`".$row["Name"]."`', '`".$row["Name"]."`'](line:
1291)
Suspicious function used: ['base64_decode'](line: 1577)
Suspicious function used: ['base64_decode'](line: 1578)
Suspicious function used: ['base64_decode'](line: 1581)
Suspicious function used: ['System'](line: 1606)
Suspicious function used: ['base64_decode'](line: 1625)
Suspicious function used: ['system'](line: 1647)
Suspicious function used: ['eval'](line: 2375)
Suspicious function used: ['eval'](line: 2377)
Suspicious function used: ['eval', 'eval'](line: 2386)
Suspicious function used: ['eval', 'eval'](line: 2404)
Suspicious function used: ['eval', 'eval', 'eval'](line: 2412)
Suspicious function used: ['base64_decode'](line: 2518)
Suspicious function used: ['parse_ini_file'](line: 2541)
Suspicious function used: ['base64_decode'](line: 2564)
Suspicious function used: ['base64_decode'](line: 2994)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\kidding.PHP
Full path: C:\xampp\htdocs\files\kidding.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:24:58 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\OK.PHP
Full path: C:\xampp\htdocs\files\OK.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:20:26 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Suspicious behavior found in: C:\xampp\htdocs\files\wtf.PHP
Full path: C:\xampp\htdocs\files\wtf.PHP
Owner: 0:0
Permission: 666
Last accessed: Fri Aug 19 10:18:37 2016
Last modified: Tue Jun 07 13:13:24 2016
Filesize: 74.0 KB
Suspicious function used: ['`\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x04
\x01\x00\x10$\x00\x00\x000\x01\x00\xd0\x06\x00\x00 \x11\x00\x00\x1c\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x80"\x00\x00@\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x1
0\x00\x00\xec\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x0
0\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00.text\x00\x00\x00|\x81\x00\x00\x00\x10\
x00\x00\x00\x82\x00\x00\x00\x04\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\
x00\x00 \x00\x00`'](line: 2)
=======================================================
Status: 5 suspicious files and 0 shells
********************************************************************************
*****************
*
*
* In case you need help email us at [email protected]
*
*
*
********************************************************************************
*****************
Comment
Tình hình là đội Gia Lai không thể kết nối đến server nên không thể làm gì được!
Comment
Pha 1: Website: http://drill10.whitehat.vn/ bị deface.
Lý do: Website thực hiện cho phép tạo user với mật khẩu random (tại link: http://drill10.whitehat.vn/register.php), sau đó từ user này có khả năng upload file php (mà ở đây là firefox.php đây là file có quyền thực thi shell C99) với đầy đủ quyền (full control). Tiếp theo hacker thực hiện truy cập vào link sau http://103.237.99.80/files/firefox.p...%3A%5C&sort=0a để thực thi và hoàn toàn chiếm quyền máy chủ. Thời gian upload file firefox.php là : 13h12 ngày 7/6/2016
Lý do: Website thực hiện cho phép tạo user với mật khẩu random (tại link: http://drill10.whitehat.vn/register.php), sau đó từ user này có khả năng upload file php (mà ở đây là firefox.php đây là file có quyền thực thi shell C99) với đầy đủ quyền (full control). Tiếp theo hacker thực hiện truy cập vào link sau http://103.237.99.80/files/firefox.p...%3A%5C&sort=0a để thực thi và hoàn toàn chiếm quyền máy chủ. Thời gian upload file firefox.php là : 13h12 ngày 7/6/2016
Comment
làm sao để xác định được được file đã thêm vào file nào khởi động cùng hệ thống?
Comment