一、背景
本次项目为期两周,由集团主导招募攻击队员对集团下属及其子公司进行的攻防演练。本次项目主导研判分析+应急排查+内部Nday发掘。
二、研判分析
2.1、帆软V10
漏洞概述
帆软 V10 及 V11 版本报表软件存在反序列化漏洞,攻击者可利用该漏洞使用POST 方法向帆软报表软件路径/webroot/decision/remote/design/channel 发送恶意数据包,将二进制数据流或文件加载到服务器内存中触发反序列化操作,从而实现任意代码执行,获取服务器控制权限。
漏洞发现
当时是在告警平台出现命令执行报警,经过项目前期熟悉客户网络结构,应用,内部办公网,生产网网段和环境,判定该告警是外部攻击ip,查看详情发现请求包是进行加密的,查看响应包发现ipconfig响应内容随判定为攻击事件。
处置措施
(1)通知运维人员对该应用网站进行封堵使得外部无法访问;
(2)通过日志分析平台对该ip进行项目日期中的所有攻击日志检索发现只有两条记录分析第一条为执行了命令ipconfig;分析第二条发现相应包中返回了目标主机退出执行命令”whoami“
(3)通知内部应用负责人进行零时处置以免影响业务
- 联系帆软系统官方咨询漏洞修复方案。
- 在服务器端禁用以下目录的访问:
① /webroot/decision/remote/design/channel
② /webroot/ReportServer/
(4)更改后进行帆软V10版本漏洞扫描无漏洞后重写上线。
2.2、spring漏洞heapdump文件泄露
漏洞描述
spring框架存在信息泄露漏洞通过actuator/查看泄露的端点信息
漏洞发现
通过流量探针传感器发现该条告警出现成功,通过访问该泄露地址成功下载
处置措施
通过运维管控站点出网使得外部无法访问该站点,分析泄露文件内容发现数据库的登录账户和密码;随及通过资产列表查询外部是否开放数据库端口;临时管控通过限制url限制访问
1、禁用HeapDump功能或限制访问权限:可以通过设置management.endpoint.heapdump.enabled=false来禁用HeapDump接口,或者通过配置Spring Security来限制只有授权用户才能访问该接口。
2、修改HeapDump文件保存路径:可以在application.properties(或application.yml)文件中设置management.endpoint.heapdump.path来修改HeapDump文件的保存路径,以确保只有授权用户才能访问该路径。
3、通过修改后进行漏洞验证进行应用上线。
2.3、其他
其他告警信息就太多了,基本高峰期一天有十几万的攻击告警,针对扫描,恶意探测、POC扫描得高频ip进行实时封禁。
三、应急响应
3.1、帆软V10反序列化漏洞
整体描述
通过前期研判后需要进行上机排查,看是否有落地的webshell文件,代理程序或工具,内存马等。
上机排查
netstat -ano
通过查看进程程序是否有外连攻击IP的情况如有判段是否有恶意外连程序;
wmic process where "ProcessId=<PID>" get ExecutablePath
使用java的内存马查杀工具进行查杀
内存马实现原理:一文看懂内存马 - FreeBuf网络安全行业门户
最后使用webshell 查杀工具(D盾,阿里云查杀等)查杀websehll;或者使用命令forfiles /P "C:\Your\Directory\Path" /S /D +7 /C "cmd /c echo @path @fdate @ftime"查看过去7天修改的文件;其他的可以个根据攻击告警日志进行研判对任务计划,隐藏账户等进行排查;最后来一波病毒扫描结束。
总结
一般我们的上机排查思路需要结合研判给的告警信息,如时间段,以及告警日志进行的操作,漏洞类型进行专项的排查。
四、内部Nday发现
描述
这里就不进行分步描述;这里是在查看告警分析平台时根据告警信息;以及资产列表,内部进行针对特定资产的漏洞挖掘、扫描以及人工验证的。
总结
如发现内部大量的弱口令情况;内部数据库mongo,redis未授权等;api接口未授权造成的信息泄露等;其他框架的历史漏洞扫描等。
:UNet with ECA (Efficient Channel Attention) 网络)
用于目标跟踪)
)
)
】-仿mudou库one thread oneloop式并发服务器实现)
