目前网络攻击种类越来越多,黑客的攻击手段也变得层出不穷,常规的防护手段通常是对特征进行识别,一旦黑客进行绕过等操作,安全设备很难发现及防御。通过科来网络回溯分析系统可以全景还原各类异常网络行为,记录所有攻击操作,对攻击行为进行深入分析,确保分析的准确性,更有力的保障网络安全。
问题描述
用户接到漏洞平台反馈,某白帽子在近日上报用户服务器xx.xx.10.122存在漏洞,可以GETSHELL,获取服务器权限。接到通知后,对问题服务器进行深入分析。
分析过程
如上图,可以看到在漏洞上报时段前,120.195.55.56频繁连接问题服务器的8080端口,产生了14.34MB的数据通讯。
此IP与问题服务器的第一个会话连接发生在16:30分左右,可以看到120.195.55.56在对服务器进行WebLogic T3协议的请求,后续进行了Java反序列化漏洞检测(WebLogic)。
攻击者成功利用此漏洞,连接到服务器内部,列出服务器内部目录,如上图。
并且通过漏洞向服务器部署名为1.jspx的WebShell文件,密码为为“gogogo”。
再次列目录时,此WebShell已经存在服务器内部。
攻击者使用密码“gogogo”成功登陆WebShell,成功获取服务器权限。随后攻击者成功进行列目录、修改文件、连接数据库等操作,如下:
攻击者连接数据库并成功的查询了数据库内部信息,如下:
攻击者在服务器内部创建并下载了名为pack.zip的压缩文件。
通过页面还原,可以看到攻击者获取了数据库的表名、内部用户敏感信息等数据,如下图:
其他问题
在分析的过程中,发现攻击者的IP120.195.55.56在6月22日同时对xx.xx.10.21进行了同样的攻击,部署名为1.jspx的WebShell文件,成功获取了服务器权限。随后在6月24日才进行了数据库的访问。
对xx.xx.10.21进行深入分析,发现:
此服务器在6月3日已经通过同样的方式被成功GETSHELL,上图为攻击者121.69.48.36部署WebShell文件1.jsp,密码同样为“gogogo”。
并且部署了wooyun.jsp的WebShell。此次攻击没有后续的攻击行为,只是对这两个Webshell进行连通性测试。
问题总结
攻击者120.195.55.56在6月22日16:30左右对多个服务器进行了JAVA反序列化漏洞的测试,其中服务器xx.xx.10.122的8080端口及168.160.10.21的80端口存在此漏洞,攻击者成功入侵服务器并成功部署了名为1.jspx的Webshell,成功获取服务器权限,成功的进行了数据库查询、下载pack.zip等操作。
经过对服务器的深入分析,发现服务器xx.xx.10.21早在6月3日已经被攻击者121.69.48.36利用相同的方式成功入侵并部署了名为1.jsp和wooyun.jsp的WebShell文件,成功获取权限,但并未进行数据库查询等操作。
网络分析价值
网络分析技术可以保存最原始的数据包进行攻击检测,快速从大量数据中定位攻击源,掌握攻击者的每一个攻击动作,评估攻击的危害型。帮助用户更好的防御各类网络攻击。
延伸阅读
案例| 回溯分析提取关键业务数据中断
案例|有人利用DDOS攻击威胁 问我要10万美金
案例|从一次流量异常中发现主机被植入后门程序
欢迎大家订阅“网络安全员”头条号, 更多优秀网络问题分析案例,不定时更新!