0x00介绍

某次接客户需求,说服务器近期经常重启,怀疑被攻击

分析思路:系统日志分析、windows崩溃文件分析

0x01系统日志

登陆失败日志,统计出攻击ip,以及对应时间节点,如果有部署网络流量,可结合网络流量进一步分析

33.png

系统重启日志

44.png


0x02蓝屏文件

在目录下:C:\Windows\Minidump找到蓝屏文件,时间与系统日志中的时间吻合

55.png

利用Debugging Tools工具分析,第一个蓝屏文件,发现是由srv.sys文件导致

66.png

结合之前ms17010的分析文章

NSA Eternalblue SMB 漏洞分析 http://blogs.360.cn/360safe/2017/04/17/nsa-eternalblue-smb/

漏洞利用原理srv.sys在处理SrvOs2FeaListSizeToNt的时候逻辑不正确导致越界拷贝

0x03总结

攻击者首先使用爆破管理员账号未成功,后续采用ms17010漏洞攻击,结果exp与系统不兼容,导致漏洞未触发成功

后续也发现类似相同的情况,导致系统不断重启

0x04修复

1.修复补丁

2.结合防火墙策略,禁用135、139、445端口(须将应用端口如80、1521端口添加进白名单)

-----------------

相关文章:

srv.sys蓝屏?高危预警:https://baijiahao.baidu.com/po/feed/share?wfr=spider&for=pc&context=%7B%22sourceFrom%22%3A%22bjh%22%2C%22nid%22%3A%22news_3335814828064300095%22%7D

srv.sys蓝屏?系统可能出现重大漏洞:http://www.imf8.cn/post/248.html

----------------

2017.09.5

过程中,因客户需排查其他主机,日志量较大

考虑到后期也可能有类似需求,简单编写了一个c#工具

1.自动筛选出:事件id、时间、目标账户、来源ip、事件描述

2.能识别审核失败(爆破攻击),并结合时间节点分析,开始时间与结束时间;爆破IP;爆破次数等

3.支持搜索特定的ip地址,亮色标注,上一条/下一条等

界面图如下:

77.png

工具:系统日志分析工具 by fresh.zip