企业级应急响应完整流程：启示录1 - 教学文档

0x01 事件概述

事件背景：

时间：xx年xx月xx日
危害等级：严重
受影响设备：域控服务器、OA服务器等29台机器
传播途径：钓鱼攻击→员工终端主机→内网横向移动→入侵关键服务器

攻击路径：

钓鱼邮件诱导下载恶意文件
建立frp隧道外连
利用Zerologon漏洞(CVE-2020-1472)攻击域控
内网横向移动，攻击多台服务器

0x02 取证过程详解

1. 安全设备告警分析

检测到内网主机(10.10.0.78等)存在内对外和内对内攻击告警
关键发现：域控服务器(10.0.10.1)被攻击，表明内网已失陷

2. 详细取证过程

2.1 人事电脑(10.10.0.78)

恶意文件下载：
- 时间：10:06
- 文件："XXX基金开户注意事项.zip"
- 来源：85.85.85.85:9000
frp隧道连接：
- 时间：10:41
- 连接至：15.15.15.15:57192
Zerologon漏洞利用：
- 时间：14:05
- 攻击目标：域控(10.0.10.1)
- 漏洞详情：CVE-2020-1472，CVSS 10分，可在3秒内接管整个域

2.2 域控服务器1(10.10.0.1)

账号异常：
- 14:10:10 设置密码
- 14:10:12 创建可疑域控账号
- 00:25:54 登录域控
恶意进程：
- bind.exe(恶意程序)
- mstsc.exe(远程登录)
登录分析：
- 14:10:10 被10.10.0.78通过RDP连接(登录类型3)

2.3 域控服务器2(10.0.10.2)

恶意样本：
- 创建时间：15:24:34
- 启动时间：15:24:35(服务模式)
内网扫描证据：
- 发现攻击者对10.192.0.0/16进行mssql和netbios扫描
- 对10.1.0/16进行smb服务扫描

2.4 内网主机(10.10.1.50)

攻击工具发现：
- 路径：C:\Users\Public\Downloads
- 工具：fscan、psexec、wminprvSE、超级弱口令探测工具
弱口令问题：
- 内网存在上百台弱口令设备

2.5 其他关键发现

持久化后门：
- 计划任务(5月19日16:59分写入)
- 服务名：BTOBTO(多台设备发现)
横向移动手法：
- Pass-the-Hash攻击
- WMIExec命令执行
- WebLogic漏洞利用(CVE-2020-14883)

0x03 攻击路径还原

初始入侵：
- 钓鱼邮件→恶意文件下载(10.10.0.78)
- 建立frp隧道(10:41)
域控攻击：
- 利用Zerologon漏洞接管域控(14:05)
- 创建后门账号
内网横向：
- 从域控向其他服务器扩散
- 使用多种工具(fscan等)进行扫描和攻击
- 利用弱口令和已知漏洞进行传播
持久化：
- 创建计划任务
- 安装恶意服务(BTOBTO)

0x04 样本汇总

发现的恶意样本：

bind.exe
serverscan.exe
fscan.exe
LTWcotx1.exe
2.exe
AnyDesk.exe
getpass.bat
execute.bat
PowerTools-master
ew.exe

0x05 应急建议

立即措施：
- 结束所有恶意进程并删除相关文件
- 修改所有主机登录口令(8位以上，含大小写字母、数字、特殊字符)
网络加固：
- 限制3389和445端口的白名单访问
- 优化内部网络隔离策略
补丁管理：
- 及时更新域控及域内机器系统补丁
- 重点关注：CVE-2020-1472、CVE-2020-14883等
监控增强：
- 开启主机日志服务并集中存储
- 实施持续化的安全监控和分析
安全意识：
- 定期进行员工安全意识培训
- 重点防范钓鱼邮件和社工攻击
工具建议：
- 使用云沙箱分析可疑文件
- 部署威胁监控产品进行实时监控

0x06 附录

C2服务器地址：

85.85.85.85:9000
15.15.15.15:57192
75.75.75.75:123456
89.89.89.89:12345
87.87.87.87:33891

关键工具使用技巧：

Everything搜索：
- 语法：dm:19981105 *.exe (搜索指定日期创建的文件)
日志分析重点：
- 事件ID 4624(成功登录)
- 事件ID 4625(登录失败)
- 事件ID 7045(服务创建)
进程分析：
- 检查异常子进程(如java.exe下挂载cmd.exe)
- 检查Public、Temp等目录的可疑文件

企业级应急响应完整流程：启示录1 - 教学文档 0x01 事件概述事件背景：时间：xx年xx月xx日危害等级：严重受影响设备：域控服务器、OA服务器等29台机器传播途径：钓鱼攻击→员工终端主机→内网横向移动→入侵关键服务器攻击路径：钓鱼邮件诱导下载恶意文件建立frp隧道外连利用Zerologon漏洞(CVE-2020-1472)攻击域控内网横向移动，攻击多台服务器 0x02 取证过程详解 1. 安全设备告警分析检测到内网主机(10.10.0.78等)存在内对外和内对内攻击告警关键发现：域控服务器(10.0.10.1)被攻击，表明内网已失陷 2. 详细取证过程 2.1 人事电脑(10.10.0.78) 恶意文件下载：时间：10:06 文件："XXX基金开户注意事项.zip" 来源：85.85.85.85:9000 frp隧道连接：时间：10:41 连接至：15.15.15.15:57192 Zerologon漏洞利用：时间：14:05 攻击目标：域控(10.0.10.1) 漏洞详情：CVE-2020-1472，CVSS 10分，可在3秒内接管整个域 2.2 域控服务器1(10.10.0.1) 账号异常： 14:10:10 设置密码 14:10:12 创建可疑域控账号 00:25:54 登录域控恶意进程： bind.exe(恶意程序) mstsc.exe(远程登录) 登录分析： 14:10:10 被10.10.0.78通过RDP连接(登录类型3) 2.3 域控服务器2(10.0.10.2) 恶意样本：创建时间：15:24:34 启动时间：15:24:35(服务模式) 内网扫描证据：发现攻击者对10.192.0.0/16进行mssql和netbios扫描对10.1.0/16进行smb服务扫描 2.4 内网主机(10.10.1.50) 攻击工具发现：路径：C:\Users\Public\Downloads 工具：fscan、psexec、wminprvSE、超级弱口令探测工具弱口令问题：内网存在上百台弱口令设备 2.5 其他关键发现持久化后门：计划任务(5月19日16:59分写入) 服务名：BTOBTO(多台设备发现) 横向移动手法： Pass-the-Hash攻击 WMIExec命令执行 WebLogic漏洞利用(CVE-2020-14883) 0x03 攻击路径还原初始入侵：钓鱼邮件→恶意文件下载(10.10.0.78) 建立frp隧道(10:41) 域控攻击：利用Zerologon漏洞接管域控(14:05) 创建后门账号内网横向：从域控向其他服务器扩散使用多种工具(fscan等)进行扫描和攻击利用弱口令和已知漏洞进行传播持久化：创建计划任务安装恶意服务(BTOBTO) 0x04 样本汇总发现的恶意样本： bind.exe serverscan.exe fscan.exe LTWcotx1.exe 2.exe AnyDesk.exe getpass.bat execute.bat PowerTools-master ew.exe 0x05 应急建议立即措施：结束所有恶意进程并删除相关文件修改所有主机登录口令(8位以上，含大小写字母、数字、特殊字符) 网络加固：限制3389和445端口的白名单访问优化内部网络隔离策略补丁管理：及时更新域控及域内机器系统补丁重点关注：CVE-2020-1472、CVE-2020-14883等监控增强：开启主机日志服务并集中存储实施持续化的安全监控和分析安全意识：定期进行员工安全意识培训重点防范钓鱼邮件和社工攻击工具建议：使用云沙箱分析可疑文件部署威胁监控产品进行实时监控 0x06 附录 C2服务器地址： 85.85.85.85:9000 15.15.15.15:57192 75.75.75.75:123456 89.89.89.89:12345 87.87.87.87:33891 关键工具使用技巧： Everything搜索：语法： dm:19981105 *.exe (搜索指定日期创建的文件) 日志分析重点：事件ID 4624(成功登录) 事件ID 4625(登录失败) 事件ID 7045(服务创建) 进程分析：检查异常子进程(如java.exe下挂载cmd.exe) 检查Public、Temp等目录的可疑文件