由于10.10.1.50存在多个成功的攻击告警,所以我们就进行了升级排查,那么在什么?在c盘user、public公共目录下排查?这是下载,那么在这一个公共的目录下面,是不需要很高的权限,也可以放工具在里面,那么我们在这个路径下面就发现了什么?就发现了多个攻击者工具,比如说xps,psesec Wmi这个超级弱口令探测工具看见没有?
超级弱口令探测工具,我们就说什么?他肯定是有探测行为的,然后肯定是有上传行为的,对不对?要不然他不可能做这些事情。那么我们也确确实实的是定位到了这些这些工具,黑客工具。都是属于什么?都是属于上传木马的一个行为。那么扫描探测的行为,它也是需要借助脚本工具来执行的。那么就是超级弱口令探测工具。好,接下来既然有样本了,那么我们就要去看样本的一个落地时间,因为只有样本落地以后,他才会去执行这些工具,然后再去利用这些工具再去做一些其他的攻击行为。
那么我们是要把这一个攻击行为去进行一个还原的,甚至要根据它落地的一个时间,往后推,往前推,去得到更多我们在设备上面,就是在这个监测设备上面,我们没有办法去直接得到的一些信息,直接得到的信息,只有这样子,我们才可以知道攻击者更多的一些攻击行为,我们才可以知道他除了我们已知的以外,还有哪些未知的行为,是我们不知道的。那么样本落地的时间就是4:53:50,看得到 pseapsec,5月19号4:53:47。好,我们再看这个这个是什么,这个是那个超级弱口令探测的一个结果,全部都是攻击成功了,这个是它探测出来的密码。然后 s s award,这是我们通常说的什么?弱口令,上百台机子都存在这个弱口令,他既然要执行这个程序,这些我们肯定知道他执行的。
那么有没有可能他又执行了一些别的东西?有可能对吧?那么所以我们就去排查,排查历史执行程序记录。
我们这个其实你在这个路径下面就可以去查看了就可以去查看了,在这里你也可以什么?通过win加r的方式,把这个路径你复制到不知道这一个窗口里面,也可以去打开,打开之后我们会给我们会看到很多的pf文件,看见没有?
Esecesec SEC看到没有?然后它的落地时间是什么时候?4:52:50,那么我们就直接去查看5月19号的一些相关信息,那么下面是5月18号,17号的我们就不看了。