记一次日志分析

共 3398字,需浏览 7分钟

 ·

2021-05-23 00:14

作者:DDBG  编辑:白帽子社区运营团队




    "白帽子社区在线CTF靶场BMZCTF,欢迎各位在这里练习、学习,BMZCTF全身心为网络安全赛手提供优质学习环境,链接(http://www.bmzclub.cn/)

"    



        野蛮人互相吞噬对方

        文明人互相欺骗对方

        这就是所谓的世道方式


                            ---叔本华

时间遇见了一次应急,大致情况是部分电脑无法正常的收发邮件,而且受影响的电脑VPN也无法登录,所以再此记录一下这一次的经历

    本人水平有限,如果文中有没说正确的或者遗漏的,希望大佬能指出



解决故障
首先我们拿到了一部分受影响机器的Windows日志(system、application、security),然后审阅相关日志,同时部署抓包软件对网络上的流量进行抓包,查看是否存在异常的通信流量。通过抓包发现一台受影响的主机一直在不间断的连接一个IP地址(xx.xx.xx.xx)。这个IP地址的归属地是保加利亚

        

    发现内部主机与外部通信之后,第一时间切断通信,在边界防火墙部署策略,切断内网和外部IP之间的所有通信。在受影响的主机中发现可以通过取消浏览器设置中的“自动检测设置”可以解除当前的故障。所以,通过域控来下发组策略,禁用该选项,解除其他受影响的主机,同时也防止其他未受影响的主机出现相同的故障。


寻找故障原因
审查受影响主机上面的一些日志,我们发现有一台主机注册表上面发现被配置了WPAD(网络代理自动发现协议)

    

   网络代理自动发现协议(Web Proxy Auto-Discovery Protocol,WPAD)是一种客户端使用DHCP和/或DNS发现方法来定位一个配置文件URL的方法。在检测和下载配置文件后,它可以执行配置文件以测定特定URL应使用的代理。简而言之就是,如果你的网络配置设置为自动检测模式,那么你的主机在网络连接的时候会在网络中自动的向一个WPAD服务器索取PAC文件,然后再利用pac文件去完成网络通信。

      WPAD也是可以被用来作为一种攻击方法,比如欺骗用户进行身份认证、监听用户流量信息以及一些组合利用获取权限等。


  • 欺骗用户进行身份认证   

       正常情况下,我们访问一个网站(比如www.baidu.com)我们可以直接跳到这个转到这个网站上,但是当我们无意之中输入错误的时候,会出现跳转到其他网站、跳到搜索引擎上去搜索或者是访问错误。

     如果"内网"(Intranet)上没有WPAD服务器,则WPAD很容易受到BNRP(BNRP, Broadcast Name Resolution Poisoning  广播名称解析中毒)攻击。如果攻击者能找到一种注册 "与该企业内部命名方案冲突的"(the internal naming scheme of the organization) "通用顶级域"(generic Top-Level Domain ,gTLD)的方法来对用户进行欺骗攻击。

       说人话就是:攻击者可以伪造一台WPAD服务器,然后在根据他要攻击的目标,设置一些容易混淆的域名(比如www.ba1du.com),当用户输入错误访问了一个不存在的域名时,没有出现相应的访问错误之类的提示,而是攻击者精心构造的一些登录框之类的提示信息,当用户输入相关信息后,攻击者也就获取到了想要获取的信息。


  • 监听用户流量

       刚刚的WPAD的介绍中我们可以知道,主机通常会去下载服务器中的PAC文件,因此攻击者也可以利用这一点在PAC设置里面让用户的流量通过攻击者设置的代理服务器,实现对用户流量的监听

(ps:图片来自TSRC)


  • 获取权限      

       至于获取主机相关权限,我这里参考腾讯安全应急响应的博客文章说一下。

        获取权限,需要利用到smb relay,虽然在MS08-067漏洞的补丁中修复了,但是我们仍然可以在未校验smb签名等情况下进行NTLM-Relay转发我们执行responder,首先关闭掉smb,给接下来的ntlmrelayx使用。

(ps:图片来自TSRC)


responder -I eth0 ntlmrelayx.py -t xx.xx.xx.xx -l ./

        域管机器访问不存在的机器时,会中继到域控机器,我们成功获取shell

(ps:图片来自TSRC)



梳理流程
再回到我们刚刚的流量捕捉环节,屏蔽掉外部与内网之间的恶意流量之后。通过观察其他的流量信息,整合其他的日志审查结果,大致梳理出一下流程:

 

    受影响的主机发起一个请求到DHCP服务器,但是DHCP未响应主机发起的查询请求



   主机继续发起DNS请求查询WPAD的信息,同时DNS成功解析了wpad.host的A记录。        


    主机尝试从wpad.host上面下载代理配置文件。

   


    然后我们就在一些受影响的主机上面会发现注册表被配置了WPAD

            

   


解决措施
  1. 在防火墙上屏蔽恶意IP地址。

  2. 在域控制器下发组策略禁用“自动检测设置”

  3. 优化DNS服务器设置,禁止与WPAD相关的递归查询。


参考文章


https://security.tencent.com/index.php/blog/msg/154


https://xz.aliyun.com/t/7051#toc-8




往期精彩文章




【干货导航】各大公众号优质文章分类导航,你想看的全都有
红色代码战队 第十四届全国大学生信息安全竞赛-线上赛Writeup
恶意样本学习——勒索病毒(一)
CVE-2020-16846 CVE-2020-25592 分析




技术支持:白帽子社区团队
— 扫码关注我们 





浏览 27
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报