加勒比海数据泄露应急响应分析
超级会员免费看
加勒比海数据泄露事件:应急响应案例分析
1. 应急响应前期准备与发现后门
在应急响应的现场,Sam 身旁的同事询问网络监控是否成功,Sam 表示成功且已运行 tcpdump 监控流量,但噪音很多,希望 NAT 实例足够强大来处理。她选择了 c4.xlarge 实例,并打算接下来设置 Suricata 监控出站流量。Trevor 让她休息一下,她便打算去买咖啡和透透气。
Sam 在受感染的 Web 服务器上发现了一个后门程序,这是目前收集到的最有价值的证据。由于逆向工程并非她的专长,且在应急响应期间也没时间学习,于是她决定使用新部署的 MIG 基础设施扫描所有在线系统。
1.1 后门文件分析
- 首先,使用
file命令分析后门文件b4kl33t,结果显示它是一个静态编译的 32 位 ELF 二进制文件:
$ file b4kl33t
b4kl33t: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), statically
linked, for GNU/Linux 2.6.9, stripped
- 接着,将该文件上传到 VirusTotal.com 进行扫描,结果显示 52 个测试扫描器中只有 22 个将其检测为恶意文件,且该文件首次提交是在两周前。
- 然后,对后门文件运行
strings命令,发现了一个 URL(
订阅专栏 解锁全文
扫一扫
71
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
