企业微信爆出漏洞,公司员工被迫摸鱼

「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

昨晚加班好好的,突然接到公司通知,说企业微信不让用了。

那还了得,微信不让用,工作就没法干,这给我急得,当场收拾书包就准备走人了。

下班路上,又瞅了一眼通知,这接口咋越看越眼熟。

果不其然,又是历史漏洞,22年就有大佬在某知发过POC了,

某某信的威胁情报也连夜更新了这个漏洞,只有历史版本受影响,同时企业微信原厂也通知了所有服务商,联系原厂即可获得修复方案和补丁包。

最后附一些受攻击后的应急排查方式,大家遇到这类时间也可以自己先做排查:

1、系统信息

1)WIN + R,输入msinfo32,打开系统信息工具,查看详细的系统信息。

2) systeminfo 命令,看系统的配置信息,重点看补丁信息,看它没打哪些补丁,反推出可能的攻击方式。

2、用户信息

1) net user 命令,查看(普通)用户,与用户确认哪些是新增的用户。

2)net user guest命令,查看指定用户的信息(如上次登录时间,密码修改时间)。

3)WIN + R,输入 lusrmgr.msc ,打开本地用户和组,查看普通用户和隐藏用户。

4)WIN + R,输入 regedit ,打开注册表,找到\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

这个路径,可以看到系统中的所有用户,包括隐藏用户。

提示:隐藏用户(username$)不能在 net user 和控制面板中看到。

5)可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(username$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。

提示:克隆账户通过修改注册表中的F值,使隐藏用户在不加入管理员组的情况下拥有管理员权限。

3、启动项

为了防止被控机器失联,很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1)WIN + R,输入msconfig,简单查看启动项(Win10移动到任务管理器里面了)。

2)WIN + R,输入regedit,打开注册表,详细查看启动项。

Run键值(第一个是用户设置的启动项,后两个是系统设置的启动项)。

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

RunOnce键值(执行一次后,自动删除)

\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

3)WIN + R,输入gpedit.msc,打开本地组策略编辑器,【计算机配置】-【Windows设置】-【脚本(启动/关机)】中查看启动脚本。

4)WIN + R,输入msinfo32,打开系统信息工具,【软件环境】-【启动程序】中查看启动项。

5)左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

4、计划任务

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1)WIN + R,输入taskschd.msc,打开任务计划程序,检查是否有异常的计划任务。

2)打开cmd,输入schtasks,默认展示所有的计划任务(和tasksched同步)。

5、日志分析

日志可以高效的帮助我们分析、溯源攻击事件。

1)WIN + R,输入 eventvwr,打开事件查看器。

2)右键系统或安全日志 - 【筛选当前日志】,根据事件ID(Event id)筛选日志,快速定位入侵事件。

系统日志:记录系统组件的事件,比如驱动程序信息、应用程序崩溃信息等数据丢失的情况。

  • 12 系统启动
  • 13 系统关闭
  • 6005 事件日志服务已启动
  • 6006 事件日志服务已停止

安全日志:记录系统安全相关的事件,比如用户登入登出、资源使用、策略更改等。

  • 1102 清理审计日志
  • 4624 账号登录成功
  • 4625 账号登录失败
  • 4768 Kerberos身份验证
  • 4769 Kerberos服务票证请求
  • 4776 NTLM身份验证
  • 4672 赋予特殊权限
  • 4720 创建用户
  • 4726 删除用户
  • 4728 将成员添加到启用安全的全局组中
  • 4729 将成员从安全的全局组中删除
  • 4732 将成员添加到启用安全的本地组中
  • 4733 将成员从启动安全的本地组中删除
  • 4756 将成员添加到启用安全的通用组中
  • 4757 将成员从启用安全的通用组中删除
  • 4719 系统审计策略修改

应用程序日志:记录应用程序产生的事件,包括微软开发的应用程序和第三方开发的基于系统的应用程序。

6、Web日志

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站,反推出攻击路径。

1)IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。

2)Apache日志存放在<Apache安装路径>/apache/logs/ 目录,access.log/error.log。

3)Tomcat日志存放在<Tomcat安装路径>/logs 目录

4)WebLogic 8.x版本:WebLogic安装路径\user_projects\domains\

WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\

5)Jboss日志存放在<Jboss安装路径>/server/default/log/

6)Nginx日志默认存放在/usr/local/nginx/logs,access.log/error.log。

7、网络分析

1)netstat -ano 查看网络连接,LISTENING表示监听状态。

2)netstat -ano | findstr "443" 查看指定端口的连接状态。

8、进程服务

1)tasklist 命令查看计算机上的进程。

tasklist /v 显示详细信息(所有字段)
tasklist /svc 显示进程和服务的对应关系
tasklist /m 显示加载的DLL文件
tasklist /m ntdll.dll 查看指定dll的调用情况

2)wmic process命令也可以查看进程,比tasklist更加详细

根据应用程序找PID:

wmic process where name="cmd.exe" get processid,executablepath,name

根据PID找应用程序:

wmic process where processid="12188" get processid,executablepath,name

3)WIN +R,输入services.msc,打开服务工具,查看自启动的服务。

4)net start 查看当前运行的服务

5) net use 查看远程连接

9、文件痕迹

Windows系统有很多敏感目录,可以帮助我们寻找攻击路径。

1)WIN + R ,输入 %UserProfile%\Recent,打开Recent目录,这里记录了最近打开的文件。

2)WIN + R ,输入 %temp%,打开Windows的临时目录,里面的文件默认拥有当前登录用户的读写权限,常被用来提权,重点检查exe、dll、sys文件,或者特别大的文件。

将可疑文件上传到沙箱或情报中心分析,比如:

  • 奇安信威胁情报中心:https://ti.qianxin.com/
  • VT文件分析平台:https://www.virustotal.com/gui/home/upload

3)WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹,这里会缓存访问过的文件,以便下次访问时可以更快的加载。

4)查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

5)使用相关工具查杀可疑文件。

服务器通常会安装杀毒软件,全盘扫描即可,如果没装就装一个。

杀毒软件一般不会做驱动对抗,如果怀疑是驱动类型的病毒,需要用专杀工具(奇安信顽固病毒专杀工具、360急救箱等)。

6)certutil -hashfile shell.php MD5 计算样本MD5

%WINDIR%

%WINDIR%\SYSTEM32

%localappdata%

%appdata%

相关推荐
只抄2 分钟前
随身 WiFi 连接 X-Wrt 共享网络与 IPv6 中继配置
网络·智能路由器
coniting1234 分钟前
【H3CNE邓方鸣】IPv6+2024.12.23
网络
编程迪9 分钟前
自研PHP版本AI口播数字人系统源码适配支持公众号H5小程序
人工智能·数字人系统源码·口播数字人·数字人小程序·数字人开源
Anna_Tong13 分钟前
人工智能的视觉天赋:一文读懂卷积神经网络
人工智能·神经网络·cnn
cdprinter22 分钟前
涉密行业跨网数据摆渡,光盘审计刻录输出,生产音视频刻录,电子档案长期保存应用
安全·自动化·音视频
ZHOU_WUYI34 分钟前
adb 安装教程
人工智能·adb
weixin_443042651 小时前
信息系统管理师试题-转型升级
人工智能·信息系统项目管理师
daopuyun2 小时前
GB/T34944-2017 《Java语言源代码漏洞测试规范》解读——安全功能
java·开发语言·安全
CV-King2 小时前
旋转框目标检测自定义数据集训练测试流程
人工智能·目标检测·计算机视觉
无问社区2 小时前
无问社区-无问AI模型
人工智能·web安全·网络安全