安全事件溯源排查报告

SJ-20230628-01安全事件溯源排查报告

一、主机排查
1、账号
当前该主机没有其他用户登录

未发现可疑账号

排除了异常连接Windows远程桌面的可能
2、网络
该主机网络信息如下，有公网IP地址

当前处于网络连接状态的进程

当前处于网络监听状态的进程

其中发现PID为4084的可疑进程lssrs.exe，正在监听主机的843和13145端口，相关文件位于目录C:\Users\Administrator\AppData\Roaming\tsksvr

另外有3个本地进程ntpcs.exe、secsvr.exe、tsksvr.exe在与lssrs.exe进程有本地网络通信，可以通过火绒剑更直观的看到，这三个进程所在目录与lssrs.exe进程均在同一目录下

3、文件
排查可疑文件，发现所属目录的文件夹是今年6月13日23点51分创建的

发现此文件有一个数字签名

通过对此签名的排查，发现网上有一个相似案例，特征与本次事件几乎一致
https://www.secrss.com/articles/47051
这是奇安信团队对一个病毒的研究文章，相同的进程和签名信息，相同的快递行业信息泄露场景，结论是一款远控木马
4、启动项
通过排查日志可以发现在今年6月13日23点52分创建了两条自启动服务，相关进程为ntpcs.exe和secsvr.exe，正是上面排查到的异常进程的其中两个

可以找到服务相关的注册表信息

5、总结
通过目前对异常主机的排查，此电脑发现了正在运行的多个异常进程lssrs.exe、ntpcs.exe、secsvr.exe、tsksvr.exe，其中lssrs.exe进程有外网监听行为，以上进程相关的文件路径相同，文件夹为
C:\Users\Administrator\AppData\Roaming\tsksvr
该文件夹于6月13日23点51分创建，并在当天23点52分同时创建了2条自启动服务。通过对此异常程序的行为分析，以及网上查询到的相似案例，基本可以确定这是一个恶意的后门程序，该后门程序通过监听主机的843和13145端口与外部进行通信，通过自启动服务来保证权限的维持。

二、应用排查
1、数据流向
通过对条码威视的相关功能梳理，总结了如下面单图片数据流向图

其中涉及木马的设备为6台客户端PC，所以存在数据流出的途径有三条，分别是前端展示、本地存储以及网络传输。经验证，前端展示的图片是经过压缩的，分辨率不足以获取面单上的信息，所以排除这一条的可能性，后面围绕本地存储和网络传输两个途径来排查。
2、本地存储
通过对条码威视客户端的反编译测试，在CodeVision4.1.0.0\Api\ytoserver\common.dll文件内找到了相关的加解密代码和密钥

与条码威视团队提供的加解密信息进行核对，发现完全一致

说明通过反编译客户端获取加解密方式是可行的
3、网络传输
由于条码威视客户端对图片数据传输到网关的处理是先解密后传输，导致图片数据在网络层是明文传输，可以在客户端和网卡之间加一层本地代理，以此获取和外泄明文数据流量
4、总结
应用层面有2个可能存在的泄漏点，一个是本地加密存储的破解，可以通过反编译客户端拿到数据加解密算法和密钥的方式来实现；另一个是明文传输的中间人攻击，可以通过代理本地流量来实现

三、排查结论
1、在被害主机上发现了远控木马，攻击者通过此后门拥有远程控制相关电脑所有权限的能力
2、在条码威视客户端上发现了两点安全风险，是可能导致信息泄漏的原因，一个是客户端本地加密方式存在破解可能，通过反编译能够获取相关加解密信息；另一个是客户端到网关之间的明文传输方式存在中间人攻击可能，通过代理流量的方式能够获取明文数据

四、整改建议
1、对于本地存储，可以考虑以下两种方案：
(1) 不对图片数据进行本地存储（需要确认业务层面是否可行）
(2) 对客户端进行加固，防止加密方式泄露
2、对于明文传输，需要变更目前的传输方式，应用层加密后再进行传输