两起应急总结

Posted 2021-03-20 escape-w

上个月跑了两次应急响应，说是应急响应，其实都是小事件....本身也没应急的经验 权当学习了

#1 windows无盘系统被远控

客户反映正打开超管系统没一会，就被远控了，但并没有做什么操作，只是控制鼠标到处点点了一会，又改了一个盘符名字。接到需求时我还在想，现在的黑客都这么无聊了吗？

到现场操作如下

msconfig查看开机启动项，这里其实发现一个看起来很诡异的开机启动项，启动项目system，制造商未知，然后又是静默运行。结果检查了一下发现虽然看起来很不可信，但貌似是无盘系统供应商提供的某软件

查看进程，不过远控已经结束了，看了下进程也没看到很诡异的东西

netstat -ano 看外连情况

看计划任务（检查操作）

 

 

看事件日志

看了一圈什么也没看出来，问大佬朋友，大佬让我下个autoruns看看wmi筛选器，下载完了需要重启。把外联什么的拍照，其他的备份了一下就重启了

结果重启之后发现弹出了一个叫xxxxx的软件自动启动，确实是无盘系统供应商出品的软件，但我仔细一看，它绑定启动了一个远控软件，这个远控软件也是无盘系统提供的。远控的客户端自动启动，自动等待连接....而且客户端弹出来的瞬间自动连接后又最小化到了托盘里，不仔细看或许都没有发现（应该就是为了超管能远控其他机器）

最关键的是，连接验证码是默认验证码：www.xxxx.com

让客户在旁边开了一台机器，操作该软件的server端连上来操作，客户一看表示那天被远控就是这个效果

至此问题就发现了，但客户表示不能修改关闭这个开机启动项，修改了连接默认码重启却依然是默认验证码，最后的解决方案是把软件默认勾选的自动连接给关闭了。

后记： 后来查了一下，很多网吧也用这种无盘系统，也有人表示因此被种了病毒

 

#2 打印机入侵事件

这个很简单，接到消息我就怀疑客户是把机器放在了外网，黑客要是进了内网光打印两张东西那不是太无聊了

过去拿到打印内容一看...

 

 甚至还将请求打印出来了：外网地址+端口

打印机型号是hp打印机

而打印机系统9100端口开启时，若连上该端口通过PJL指令发送设备名称请求并得到打印机的响应，说明可以未授权访问打印机，PJL保护机制的密钥由２个字节(16比特)的存储单位存储，可以进行暴力破解攻击，从而得到目标打印机的完全访问权限。

解决方案：将打印机对外网的端口映射删除