星期四, 9月 12, 2019

如何找出內部進行特定連線攻擊的用戶端


某一天傍晚收到資安預警通知,通知信如下:

        一開始直覺可能有人不小心連到什麼有病毒的網頁,下載不該下載的檔案,而被區網中心的機器偵測到,這種情況實在很難查到是內部哪一台機器造成的,因為只知道是哪一個對外的公開IP被偵測到。不過好在的是我們內部切了很多網段,每個網段NAT出去後都有一個代表IP,至少知道這個IP的內部網段是172.20.1.0/24。
        當下資安回報只能填無法判斷,因為真得不知道是哪個IP觸發「進行 Malicious File Download/Malicious Binary Download 攻擊」的特徵值。下載通報平台的log檔,知道是內部某一台裝置連到http://174.128.249.18/64work.rar,進行下載。
         利用「64work.rar」為關鍵字,查一下google,應該是內部有機器中了挖礦木馬了(參考:https://www.8btc.com/article/453506

   首先要先找出是內部哪個ip,因此加了routeros的防火牆規則,只要內部網投172.20.1.0/24有連接174.128.0.0/16的行為時,就將之加到bad_bad_ip的address list中,並寫到log中。
    就等內部機器觸發規則再來找凶手,規則如下:

add action=add-src-to-address-list address-list=bad_bad_ip \
    address-list-timeout=none-static chain=forward dst-address=174.128.0.0/16 \
    log=yes log-prefix=bad_bad_ip_ src-address=172.20.1.0/24

add action=add-dst-to-address-list address-list=bad_bad_ip \
    address-list-timeout=none-static chain=forward dst-address=174.128.0.0/16 \
    log=yes log-prefix=bad_bad_ip_ src-address=172.20.1.0/24


果然隔天就捉到了(如下圖)
看了creation time,連線目的端及來源端是同一時間,因此應該就是這台172.20.1.69有鬼。
再把這個IP的連線加到了log中,繼續觀察這台機器的連線行為。
見下方的log,此台機器一直持續在對外連174.128.239.250及45.58.135.106,果然連線行為很怪異。接著就是要找出這台的位置。

要找出這個ip在內部網路的位置,就要利用網管型交換器的功能了
先連到到Layer3核心交換器,我們的核心交換器是Juniper EX3400,下指令show arp,馬上找到是172.20.1.69是從第9埠上來的,它的mac address是00:90:05:04:3f:3d


接著找第9埠下面接的交換器Dlink 1510-28,進web界面,在Layer2 Futures->FDB->MAC Address Table,找到相對應的mac address,是從這台的第11埠上來的,所以就可以直接找到這埠下接的電腦。

找到凶手後,就看是要除毒,還是要重灌來解決問題了。
註:
  1. 事後找到這台電腦是一台老舊的XP,一直安靜的躺在地下室中,所以就沒被關注到。這台 效能差,現在的防毒軟體也不支援了,但又不能直接換掉,因為這台連接了學校泳池的熱泵系統,只好先救急,將被修改的登錄檔中啟動的預設值拿掉,暫時解除了危機,也利用防火牆拒絕內部連線到174.128.0.0/16
  2. 另外,也要想辦法解決系統漏洞問題—永恆之藍漏洞MS17-010(參考:如何確認是否已安裝 MS17-010http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598