i-like-to
We have unfortunately been hiding under a rock and did not see the many news articles referencing the recent MOVEit CVE being exploited in the wild. We believe our Windows server may be vulnerable and has recently fallen victim to this compromise. We need to understand this exploit in a bit more detail and confirm the actions of the attacker & retrieve some details so we can implement them into our SOC environment. We have provided you with a triage of all the necessary artifacts from our compromised Windows server. PS: One of the artifacts is a memory dump, but we forgot to include the vmss file. You might have to go back to basics here...
不幸的是,我们一直躲在岩石下面,没有看到很多新闻文章提及最近在野外利用的 MOVEit CVE。我们认为我们的 Windows 服务器可能存在漏洞,并且最近遭受了此漏洞的攻击。我们需要更详细地了解此漏洞,并确认攻击者的行为并检索一些详细信息,以便我们可以将它们实施到我们的 SOC 环境中。我们为您提供了来自我们受损 Windows 服务器的所有必要工件的分诊。PS:其中一件工件是内存转储,但我们忘记包含 vmss 文件。您可能必须回到这里讨论基本知识...
题目数据
由于附件过大,故在此不提供下载链接
First of all
根据题目中所提到的 MOVEit CVE
信息,定位到 CVE-2023-34362
附件解压
首先,先将附件解压后,得到
D:.
I-like-to-27a787c5.vmem
Triage.zip
将 Triage.zip
解压后,得到目录树(经过 URL Decode)
D:.
├─results
└─uploads
├─auto
│ ├─\\.\C:
│ │ └─Windows
│ │ └─System32
│ │ └─LogFiles
│ │ └─WMI
│ │ └─RtBackup
│ └─C:
│ ├─$Recycle.Bin
│ │ └─S-1-5-21-4088429403-1159899800-2753317549-500
│ ├─inetpub
│ │ └─logs
│ │ ├─FailedReqLogFiles
│ │ └─LogFiles
│ │ └─W3SVC2
│ ├─MOVEitTransfer
│ │ └─Logs
│ ├─ProgramData
│ │ └─Microsoft
│ │ ├─Windows
│ │ │ └─Start Menu
│ │ │ └─Programs
│ │ └─Windows Defender
│ │ └─Support
│ ├─Users
│ │ ├─.NET v4.5
│ │ │ └─AppData
│ │ │ ├─Local
│ │ │ │ └─Microsoft
│ │ │ │ └─Windows
│ │ │ └─Roaming
│ │ │ └─Microsoft
│ │ │ └─Internet Explorer
│ │ │ └─Quick Launch
│ │ ├─.NET v4.5 Classic
│ │ │ └─AppData
│ │ │ ├─Local
│ │ │ │ └─Microsoft
│ │ │ │ └─Windows
│ │ │ └─Roaming
│ │ │ └─Microsoft
│ │ │ └─Internet Explorer
│ │ │ └─Quick Launch
│ │ ├─Administrator
│ │ │ └─AppData
│ │ │ ├─Local
│ │ │ │ ├─ConnectedDevicesPlatform
│ │ │ │ │ └─L.Administrator
│ │ │ │ └─Microsoft
│ │ │ │ ├─Internet Explorer
│ │ │ │ │ ├─CacheStorage
│ │ │ │ │ ├─DomainSuggestions
│ │ │ │ │ ├─EmieSiteList
│ │ │ │ │ ├─EmieUserList
│ │ │ │ │ ├─IECompatData
│ │ │ │ │ ├─IEFlipAheadCache
│ │ │ │ │ ├─imagestore
│ │ │ │ │ │ └─zxjua2i
│ │ │ │ │ ├─Recovery
│ │ │ │ │ │ └─High
│ │ │ │ │ │ └─Last Active
│ │ │ │ │ ├─Tiles
│ │ │ │ │ │ └─pin-314712940
│ │ │ │ │ └─VersionManager
│ │ │ │ └─Windows
│ │ │ │ ├─Explorer
│ │ │ │ ├─History
│ │ │ │ │ └─History.IE5
│ │ │ │ │ └─MSHist012023061320230614
│ │ │ │ ├─IEDownloadHistory
│ │ │ │ ├─INetCookies
│ │ │ │ │ ├─DNTException
│ │ │ │ │ └─ESE
│ │ │ │ └─WebCache
│ │ │ └─Roaming
│ │ │ └─Microsoft
│ │ │ ├─Internet Explorer
│ │ │ │ └─Quick Launch
│ │ │ │ └─User Pinned
│ │ │ │ └─TaskBar
│ │ │ ├─Protect
│ │ │ │ └─S-1-5-21-4088429403-1159899800-2753317549-500
│ │ │ └─Windows
│ │ │ ├─PowerShell
│ │ │ │ └─PSReadLine
│ │ │ └─Recent
│ │ │ ├─AutomaticDestinations
│ │ │ └─CustomDestinations
│ │ ├─Default
│ │ │ └─AppData
│ │ │ └─Roaming
│ │ │ └─Microsoft
│ │ │ └─Internet Explorer
│ │ │ └─Quick Launch
│ │ ├─dfir
│ │ │ └─AppData
│ │ │ ├─Local
│ │ │ │ ├─ConnectedDevicesPlatform
│ │ │ │ │ └─L.dfir
│ │ │ │ └─Microsoft
│ │ │ │ ├─Internet Explorer
│ │ │ │ │ ├─CacheStorage
│ │ │ │ │ ├─EmieSiteList
│ │ │ │ │ ├─EmieUserList
│ │ │ │ │ ├─IECompatData
│ │ │ │ │ ├─imagestore
│ │ │ │ │ │ └─lq16xzq
│ │ │ │ │ └─Recovery
│ │ │ │ │ └─Last Active
│ │ │ │ └─Windows
│ │ │ │ ├─Explorer
│ │ │ │ ├─History
│ │ │ │ │ ├─History.IE5
│ │ │ │ │ │ └─MSHist012023061320230614
│ │ │ │ │ └─Low
│ │ │ │ │ └─History.IE5
│ │ │ │ ├─IEDownloadHistory
│ │ │ │ ├─INetCookies
│ │ │ │ │ ├─DNTException
│ │ │ │ │ ├─ESE
│ │ │ │ │ └─Low
│ │ │ │ │ └─ESE
│ │ │ │ └─WebCache
│ │ │ └─Roaming
│ │ │ └─Microsoft
│ │ │ ├─Internet Explorer
│ │ │ │ └─Quick Launch
│ │ │ │ └─User Pinned
│ │ │ │ └─TaskBar
│ │ │ ├─Protect
│ │ │ │ └─S-1-5-21-4088429403-1159899800-2753317549-1007
│ │ │ └─Windows
│ │ │ └─Recent
│ │ │ ├─AutomaticDestinations
│ │ │ └─CustomDestinations
│ │ ├─moveitsvc
│ │ │ └─AppData
│ │ │ ├─Local
│ │ │ │ └─Microsoft
│ │ │ │ └─Windows
│ │ │ └─Roaming
│ │ │ └─Microsoft
│ │ │ ├─Internet Explorer
│ │ │ │ └─Quick Launch
│ │ │ └─Protect
│ │ │ └─S-1-5-21-4088429403-1159899800-2753317549-1000
│ │ └─moveitsvc.WIN-LR8T2EF8VHM.002
│ │ └─AppData
│ │ ├─Local
│ │ │ ├─ConnectedDevicesPlatform
│ │ │ │ └─L.moveitsvc
│ │ │ └─Microsoft
│ │ │ ├─Internet Explorer
│ │ │ │ ├─CacheStorage
│ │ │ │ └─IECompatData
│ │ │ └─Windows
│ │ │ ├─Explorer
│ │ │ ├─History
│ │ │ │ └─History.IE5
│ │ │ └─WebCache
│ │ └─Roaming
│ │ └─Microsoft
│ │ ├─Internet Explorer
│ │ │ └─Quick Launch
│ │ │ └─User Pinned
│ │ │ └─TaskBar
│ │ ├─Protect
│ │ │ └─S-1-5-21-4088429403-1159899800-2753317549-1006
│ │ └─Windows
│ │ ├─PowerShell
│ │ │ └─PSReadLine
│ │ └─Recent
│ │ ├─AutomaticDestinations
│ │ └─CustomDestinations
│ └─Windows
│ ├─appcompat
│ │ └─Programs
│ ├─INF
│ ├─ServiceProfiles
│ │ ├─LocalService
│ │ └─NetworkService
│ │ └─AppData
│ │ └─Local
│ │ └─Microsoft
│ │ └─Windows
│ │ └─DeliveryOptimization
│ │ └─Logs
│ ├─System32
│ │ ├─config
│ │ │ └─RegBack
│ │ ├─LogFiles
│ │ │ └─Sum
│ │ ├─sru
│ │ ├─Tasks
│ │ │ └─Microsoft
│ │ │ └─Windows
│ │ │ ├─.NET Framework
│ │ │ ├─Active Directory Rights Management Services Client
│ │ │ ├─AppID
│ │ │ ├─Application Experience
│ │ │ ├─ApplicationData
│ │ │ ├─AppxDeploymentClient
│ │ │ ├─Autochk
│ │ │ ├─BitLocker
│ │ │ ├─Bluetooth
│ │ │ ├─BrokerInfrastructure
│ │ │ ├─CertificateServicesClient
│ │ │ ├─Chkdsk
│ │ │ ├─Clip
│ │ │ ├─CloudExperienceHost
│ │ │ ├─Customer Experience Improvement Program
│ │ │ ├─Data Integrity Scan
│ │ │ ├─Defrag
│ │ │ ├─Device Information
│ │ │ ├─Device Setup
│ │ │ ├─Diagnosis
│ │ │ ├─DirectX
│ │ │ ├─DiskCleanup
│ │ │ ├─DiskDiagnostic
│ │ │ ├─DiskFootprint
│ │ │ ├─EDP
│ │ │ ├─ExploitGuard
│ │ │ ├─File Classification Infrastructure
│ │ │ ├─Flighting
│ │ │ │ ├─FeatureConfig
│ │ │ │ └─OneSettings
│ │ │ ├─InstallService
│ │ │ ├─LanguageComponentsInstaller
│ │ │ ├─License Manager
│ │ │ ├─Location
│ │ │ ├─Maintenance
│ │ │ ├─Maps
│ │ │ ├─MemoryDiagnostic
│ │ │ ├─Mobile Broadband Accounts
│ │ │ ├─MUI
│ │ │ ├─Multimedia
│ │ │ ├─NetTrace
│ │ │ ├─Network Controller
│ │ │ ├─Offline Files
│ │ │ ├─PI
│ │ │ ├─PLA
│ │ │ ├─Plug and Play
│ │ │ ├─Power Efficiency Diagnostics
│ │ │ ├─PushToInstall
│ │ │ ├─Ras
│ │ │ ├─RecoveryEnvironment
│ │ │ ├─Registry
│ │ │ ├─Server Manager
│ │ │ ├─Servicing
│ │ │ ├─SharedPC
│ │ │ ├─Shell
│ │ │ ├─Software Inventory Logging
│ │ │ ├─SoftwareProtectionPlatform
│ │ │ ├─SpacePort
│ │ │ ├─Speech
│ │ │ ├─Storage Tiers Management
│ │ │ ├─Task Manager
│ │ │ ├─TextServicesFramework
│ │ │ ├─Time Synchronization
│ │ │ ├─Time Zone
│ │ │ ├─TPM
│ │ │ ├─UpdateOrchestrator
│ │ │ ├─UPnP
│ │ │ ├─User Profile Service
│ │ │ ├─WaaSMedic
│ │ │ ├─WDI
│ │ │ ├─Windows Defender
│ │ │ ├─Windows Error Reporting
│ │ │ ├─Windows Filtering Platform
│ │ │ ├─Windows Media Sharing
│ │ │ ├─WindowsColorSystem
│ │ │ ├─WindowsUpdate
│ │ │ ├─Wininet
│ │ │ └─Workplace Join
│ │ ├─wbem
│ │ │ └─Repository
│ │ ├─WDI
│ │ │ └─LogFiles
│ │ └─winevt
│ │ └─Logs
│ ├─Tasks
│ └─Temp
└─ntfs
└─\\.\C:
└─$Extend
└─$RmMetadata
└─$TxfLog
很明显为 Windows 的日志文件
内存镜像加载
由于只有 I-like-to-27a787c5.vmem
文件,没有 vmss
文件,导致无法使用 Volatility
对内存镜像进行解析,但是 仍然可以通过 strings
和 R-Studio
程序对内存镜像进行解析
MFT 数据解析
使用 MFTExplorer
读取 \iliketo\Triage\Triage\uploads\ntfs\%5C%5C.%5CC%3A\$MFT
文件
可以还原出来 NTFS 文件系统的结构数据
同时,使用 MFTECmd
+TimelineExplorer
进行时间线分析
PS D:\_Tools\_ForensicAnalyzer\MFTECmd> .\MFTECmd.exe -f D:\Downloads\iliketo\Triage\Triage\uploads\ntfs\%5C%5C.%5CC%3A\$MFT --csv D:\Downloads\iliketo\Triage\Triage\uploads\ntfs\
MFTECmd version 1.2.2.1
Author: Eric Zimmerman (saericzimmerman@gmail.com)
https://github.com/EricZimmerman/MFTECmd
Command line: -f D:\Downloads\iliketo\Triage\Triage\uploads\ntfs\%5C%5C.%5CC%3A\$MFT --csv ./out.csv
Warning: Administrator privileges not found!
File type: Mft
Processed D:\Downloads\iliketo\Triage\Triage\uploads\ntfs\%5C%5C.%5CC%3A\MFT in 4.5830 seconds
D:\Downloads\iliketo\Triage\Triage\uploads\ntfs\%5C%5C.%5CC%3A\$MFT: FILE records found: 318,161 (Free records: 214,500) File size: 520.2MB
Path to ./out.csv doesn't exist. Creating...
CSV output will be saved to D:\Downloads\iliketo\Triage\Triage\uploads\ntfs\20240322151222_MFTECmd_$MFT_Output.csv
对得到的 20240322151222_MFTECmd_$MFT_Output.csv
文件,使用 TimelineExplorer
进行加载
HTTP 日志
HTTP 日志文件位于 \Triage\uploads\auto\C%3A\inetpub\logs\LogFiles\W3SVC2\u_ex230712.log
Task 1
攻击者上传的 ASPX webshell 的名称是什么?
在 \Triage\uploads\auto\C%3A\inetpub\logs\LogFiles\W3SVC2\u_ex230712.log
中,对 HTTP 请求进行排查时,将所有请求的 User-Agent 提取出来
with open("./u_ex230712.log", "r") as f:
logs = [i.split("") for i in f.read().split("\n") if i.startswith("2023-07-12")]
for i in logs:
while "-" in i:
i.remove("-")
user_agent = []
for i in logs:
if i[7] in user_agent:
continue
else:
user_agent.append(i[7])
print("\n".join(user_agent))
得到
Mozilla/5.0+(compatible;+Nmap+Scripting+Engine;+https://nmap.org/book/nse.html)
AnyConnect+Darwin_i386+3.1.05160
Mozilla/5.0+(X11;+Linux+x86_64;+rv:102.0)+Gecko/20100101+Firefox/102.0
Ruby
CWinInetHTTPClient
Mozilla/5.0+(Macintosh;+Intel+Mac+OS+X+10_15_7)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/114.0.0.0+Safari/537.36
在其中注意到 Mozilla/5.0+(compatible;+Nmap+Scripting+Engine;+https://nmap.org/book/nse.html)
和 Ruby
两个 User-Agent 值,很明显为 Nmap
和 Metasploit
的 User-Agent
结合 Nmap 和 Metasploit 两款工具的特征,可以定位这两个 User-Agent 就是攻击源。并且还存在一个可疑的 User-AgentCWinInetHTTPClient
将这三个 User-Agnet 的请求进行提取
with open("./u_ex230712.log", "r") as f:
logs = [i.split("") for i in f.read().split("\n") if i.startswith("2023-07-12")]
for i in logs:
while "-" in i:
i.remove("-")
user_agent = ["Mozilla/5.0+(compatible;+Nmap+Scripting+Engine;+https://nmap.org/book/nse.html)", "Ruby", "CWinInetHTTPClient"]
res = []
for i in logs:
if i[7] in user_agent:
if [i[4], i[7]] in res:
continue
else:
res.append([i[4], i[7]])
for i in res:
print(i)