玄机靶场：钓鱼事件应急响应深度分析报告

玄机靶场钓鱼事件应急响应深度分析报告1. 案例背景与研判思路近期目标企业小张所在公司遭遇了一起典型的定向钓鱼攻击事件。攻击者通过发送伪装成“漏洞通报”的恶意压缩包邮件成功诱导内部员工点击进而获取了办公终端的控制权。随后攻击者以此为跳板在内网中进行了横向移动和权限维持操作。本报告基于受害主机遗留的系统日志、文件系统特征及网络连接记录对攻击者的完整攻击链路进行溯源复盘。分析过程主要围绕“初始突破、载荷投递、权限维持、横向移动”四个阶段展开旨在提取关键威胁情报IOCs并为后续的安全加固提供技术依据。2. 攻击链路深度溯源2.1 初始突破利用 CVE-2023-38831 漏洞攻击者在钓鱼邮件中附带了一个名为“漏洞通报.rar”的压缩包。通过对该压缩包结构及内部文件的沙箱分析确认攻击者利用了WinRAR 远程代码执行漏洞CVE-2023-38831该漏洞的触发原理在于 WinRAR版本 6.23处理 ZIP/RAR 压缩包内同名文件与文件夹时的逻辑缺陷。当压缩包内存在一个诱饵文件如漏洞通报.pdf和一个同名文件夹漏洞通报.pdf且文件夹内包含恶意脚本如漏洞通报.pdf .cmd时用户双击诱饵文件WinRAR 的ShellExecute函数会错误地将同名文件夹下的恶意脚本释放到临时目录并执行 [1]。钓鱼使用的漏洞编号flag{CVE-2023-38831}2.2 载荷投递下载并隐藏远控木马恶意脚本执行后会在后台静默发起网络请求从攻击者控制的 Web 服务器下载后续的远控载荷。通过提取恶意脚本中的 PowerShell 下载命令我们锁定了木马的下载源地址。钓鱼程序下载木马的地址flag{http://192.168.229.156:7001/wls-wsat/7z.exe}下载的木马文件被命名为7z.exe并存放于C:\Users\Administrator\AppData\Local\Temp\目录下。攻击者利用了双后缀及隐藏属性h s来规避人工检查。通过对该木马文件提取特征计算出其 MD5 哈希值可用于全网终端的 IOC 扫描。远控木马的小写 MD5flag{d1e11c3281072d11088e7b422ad52e6c}2.3 远控通信与内网探测木马运行后会与 C2Command and Control服务器建立反向连接接收并执行攻击者下发的指令。通过分析主机的外联网络会话Netstat 记录或抓包数据我们提取到了该远控木马回连的服务端 IP 地址。远控木马程序的服务端 IPflag{192.168.229.136}在建立稳定控制后攻击者通常会进行内网资产探测。我们在系统临时目录中发现了一款名为fscan的内网综合扫描工具。该工具常用于快速发现内网存活主机、开放端口及常见服务漏洞。横向中上传的内网扫描工具位置flag{C:\Windows\Temp\fscan.exe}2.4 权限维持服务注册与影子账户为了确保在系统重启或密码更改后仍能保持对主机的控制攻击者实施了两种权限维持手段。首先攻击者利用 Windows 服务机制将恶意程序注册为自启动服务。通过排查系统事件日志Event ID 7045新服务安装及注册表HKLM\SYSTEM\CurrentControlSet\Services发现了一个名为MysqlServer的可疑服务其可执行文件路径指向了前述的恶意木马。权限维持中创建的服务名称flag{MysqlServer}其次攻击者利用 Windows 账户管理机制的特性创建了一个隐藏的“影子账户”。该账户名称以$结尾如hack$通过修改注册表 SAM 键值使其在net user命令和“计算机管理”图形界面中不可见从而实现隐蔽登录。攻击者创建影子账户的名称flag{hack$}通过进一步关联 Windows 安全日志Event ID 4624成功登录筛选 Logon Type 10远程交互式登录或 Logon Type 3网络登录的记录我们精准定位了该影子账户的首次成功登入时间。攻击者第一次成功远程登入时间flag{2024-09-22 13:15:11}2.5 横向移动端口转发突破隔离在掌握当前主机权限后攻击者试图访问内网中其他被隔离的系统例如仅允许特定网段访问的 RDP 服务器。为此攻击者利用 Windows 内置的netsh interface portproxy命令在受害主机上配置了端口转发规则。通过执行netsh interface portproxy show all命令查看配置发现攻击者将本地监听的端口流量直接转发到了内网另一台目标主机的 3389 端口远程桌面服务以此将受害主机作为跳板实现内网穿透。端口转发的目的 IP 地址和端口flag{10.10.10.103:3389}3. 研判总结与响应建议本次事件是一起典型的利用高危 1-day 漏洞CVE-2023-38831结合社会工程学的定向攻击。攻击链路清晰钓鱼邮件投递 - 触发 WinRAR 漏洞执行脚本 - 下载远控木马 - 建立 C2 通信 - 注册服务与影子账户维持权限 - 上传扫描器探测内网 - 配置端口转发进行横向移动。针对此次事件提出以下应急响应与加固建议漏洞修复强制要求全网终端更新 WinRAR 软件至 6.23 及以上版本或替换为其他安全的解压缩软件。威胁清除下线受害主机断开网络连接。清除恶意文件C:\Users\Administrator\AppData\Local\Temp\7z.exe及C:\Windows\Temp\fscan.exe。删除恶意服务执行sc delete MysqlServer。清理影子账户在注册表HKLM\SAM\SAM\Domains\Account\Users中删除对应键值并执行net user hack$ /del。清除端口转发规则执行netsh interface portproxy reset。网络封堵在边界防火墙及终端 EDR 中封禁恶意下载源 IP192.168.229.156及 C2 服务器 IP192.168.229.136。横向排查以10.10.10.103为线索排查该主机是否已被攻陷并检查全网是否还有其他主机存在d1e11c3281072d11088e7b422ad52e6c的木马特征。安全意识加强员工防钓鱼培训警惕双后缀文件禁止随意解压和运行来源不明的邮件附件。