记一次fastjson事件应急响应

01 事件背景介绍

某内部应急演练中，安全部门收到通知，称公司内部资产被入侵，且可能已经开始内网横向攻击，现需根据流量情况进行安全事件分析。

02 事件分析过程

通过数据包发现10.X.X.2对80.X.X.1/24使用扫描器发起扫描，包括80.X.X.12，80.X.X.48，80.X.X.61

查看源IP 80.X.X.12外连情况发现无异常，重点审查POST请求与响应流量，发现存在thinkphp漏洞执行命令并回显，但并未进行下一步的利用。

通过筛选相关数据包发现，80.X.X.61存在一些可疑的出网流量

80.X.X.61对101.X.X.206:1056发起连接，并发现相关log4j2 payload

继续追踪流量，发现并未针对该漏洞进行下一步利用，通过威胁情报搜索，发现该IP已被标记

查看源IP 80.X.X.48外连情况，发现针对114.114.114.114进行ping行为。

继续检索POST请求与响应流量，发现存在fastjson漏洞执行whoami命令。

发现攻击者曾执行“ping -c 1 114.114.114.114”命令，但从响应状态来看机器不出网。

继续审查流量，发现蚁剑webshell通信流量，自定义请求头xx-options-a，密码abcd。

发现存在bcel注入内存马流量，testshell与testpwd正好对应内存马的自定义请求头和密码。

还原bcel为class，可以看到注入内存马时，使用testpwd和testshell头控制内存马密码和自定义header头，并且将404内容写入响应中。

并且通过反射的注入listener内存马。

将注入的listener字节码base64解码还原，可以清晰的看到注入的内存马为蚁剑jspjs马。

据此判断主机80.X.X.48失陷，继续观察其他流量，未发现其余明显异常行为。

03 事件分析结果

攻击者10.X.X.2使用扫描器对80.X.X.0/24开展扫描，发现多个站点存在漏洞，随后利用站点80.X.X.48 fastjson漏洞进行回显利用，探测网站网络情况后，发现不出网，遂注入listener蚁剑内存马执行命令，准备进一步扩大战果。

04 安全加固建议

1、在安全设备上，如防火墙、IDS上封禁攻击IP：10.X.X.2、101.X.X.206、101.X.X.197。

2、 针对本次失陷主机80.X.X.48，进行网络隔离，排查入侵痕迹和内网横向情况，修复fastjson漏洞，清理木马。

3、针对失陷主机80.X.X.61和存在漏洞主机80.X.X.12，进行网络隔离，排查历史入侵痕迹，修复致远oa和thinkphp历史漏洞，清理木马。