企业微信爆出漏洞,公司员工被迫摸鱼

news2024/11/24 20:14:42

「作者主页」:士别三日wyx
「作者简介」:CSDN top100、阿里云博客专家、华为云享专家、网络安全领域优质创作者
「推荐专栏」:对网络安全感兴趣的小伙伴可以关注专栏《网络安全入门到精通》

昨晚加班好好的,突然接到公司通知,说企业微信不让用了。

那还了得,微信不让用,工作就没法干,这给我急得,当场收拾书包就准备走人了。

在这里插入图片描述

下班路上,又瞅了一眼通知,这接口咋越看越眼熟。

在这里插入图片描述

果不其然,又是历史漏洞,22年就有大佬在某知发过POC了,

在这里插入图片描述

某某信的威胁情报也连夜更新了这个漏洞,只有历史版本受影响,同时企业微信原厂也通知了所有服务商,联系原厂即可获得修复方案和补丁包。

在这里插入图片描述

最后附一些受攻击后的应急排查方式,大家遇到这类时间也可以自己先做排查:

在这里插入图片描述

1、系统信息

1)WIN + R,输入msinfo32,打开系统信息工具,查看详细的系统信息。

2) systeminfo 命令,看系统的配置信息,重点看补丁信息,看它没打哪些补丁,反推出可能的攻击方式。

2、用户信息

1) net user 命令,查看(普通)用户,与用户确认哪些是新增的用户。

2)net user guest命令,查看指定用户的信息(如上次登录时间,密码修改时间)。

3)WIN + R,输入 lusrmgr.msc ,打开本地用户和组,查看普通用户和隐藏用户。

4)WIN + R,输入 regedit ,打开注册表,找到\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
这个路径,可以看到系统中的所有用户,包括隐藏用户。

提示:隐藏用户(username$)不能在 net user 和控制面板中看到。

5)可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(username$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。

提示:克隆账户通过修改注册表中的F值,使隐藏用户在不加入管理员组的情况下拥有管理员权限。

3、启动项

为了防止被控机器失联,很多恶意程序会把自己添加到系统启动项中,在开机时自动运行。

1)WIN + R,输入msconfig,简单查看启动项(Win10移动到任务管理器里面了)。

2)WIN + R,输入regedit,打开注册表,详细查看启动项。

Run键值(第一个是用户设置的启动项,后两个是系统设置的启动项)。
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Run

RunOnce键值(执行一次后,自动删除)
\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

3)WIN + R,输入gpedit.msc,打开本地组策略编辑器,【计算机配置】-【Windows设置】-【脚本(启动/关机)】中查看启动脚本。

4)WIN + R,输入msinfo32,打开系统信息工具,【软件环境】-【启动程序】中查看启动项。

5)左下角【开始】-【所有程序】-【启动】,打开是一个目录,检查里面有没有异常启动项。

4、计划任务

很多恶意程序会把自己添加到计划任务中,在固定时间启动。

1)WIN + R,输入taskschd.msc,打开任务计划程序,检查是否有异常的计划任务。

2)打开cmd,输入schtasks,默认展示所有的计划任务(和tasksched同步)。

5、日志分析

日志可以高效的帮助我们分析、溯源攻击事件。

1)WIN + R,输入 eventvwr,打开事件查看器。

2)右键系统或安全日志 - 【筛选当前日志】,根据事件ID(Event id)筛选日志,快速定位入侵事件。

系统日志:记录系统组件的事件,比如驱动程序信息、应用程序崩溃信息等数据丢失的情况。

  • 12 系统启动
  • 13 系统关闭
  • 6005 事件日志服务已启动
  • 6006 事件日志服务已停止

安全日志:记录系统安全相关的事件,比如用户登入登出、资源使用、策略更改等。

  • 1102 清理审计日志
  • 4624 账号登录成功
  • 4625 账号登录失败
  • 4768 Kerberos身份验证
  • 4769 Kerberos服务票证请求
  • 4776 NTLM身份验证
  • 4672 赋予特殊权限
  • 4720 创建用户
  • 4726 删除用户
  • 4728 将成员添加到启用安全的全局组中
  • 4729 将成员从安全的全局组中删除
  • 4732 将成员添加到启用安全的本地组中
  • 4733 将成员从启动安全的本地组中删除
  • 4756 将成员添加到启用安全的通用组中
  • 4757 将成员从启用安全的通用组中删除
  • 4719 系统审计策略修改

应用程序日志:记录应用程序产生的事件,包括微软开发的应用程序和第三方开发的基于系统的应用程序。

6、Web日志

从Web应用日志中,可以分析攻击者在什么时间、使用哪个IP,访问了哪个网站,反推出攻击路径。

1)IIS日志通常存放在%systemroot%\system32\logfiles\W3SVC1\目录。

2)Apache日志存放在<Apache安装路径>/apache/logs/ 目录,access.log/error.log。

3)Tomcat日志存放在<Tomcat安装路径>/logs 目录

4)WebLogic 8.x版本:WebLogic安装路径\user_projects\domains\
WebLogic 9及以后版本:WebLogic安装路径\user_projects\domains\\servers\\logs\

5)Jboss日志存放在<Jboss安装路径>/server/default/log/

6)Nginx日志默认存放在/usr/local/nginx/logs,access.log/error.log。

7、网络分析

1)netstat -ano 查看网络连接,LISTENING表示监听状态。

2)netstat -ano | findstr "443" 查看指定端口的连接状态。

8、进程服务

1)tasklist 命令查看计算机上的进程。

tasklist /v 显示详细信息(所有字段)
tasklist /svc 显示进程和服务的对应关系
tasklist /m 显示加载的DLL文件
tasklist /m ntdll.dll 查看指定dll的调用情况

2)wmic process命令也可以查看进程,比tasklist更加详细

根据应用程序找PID:
wmic process where name=“cmd.exe” get processid,executablepath,name

根据PID找应用程序:
wmic process where processid=“12188” get processid,executablepath,name

3)WIN +R,输入services.msc,打开服务工具,查看自启动的服务。

4)net start 查看当前运行的服务

5) net use 查看远程连接

9、文件痕迹

Windows系统有很多敏感目录,可以帮助我们寻找攻击路径。

1)WIN + R ,输入 %UserProfile%\Recent,打开Recent目录,这里记录了最近打开的文件。

2)WIN + R ,输入 %temp%,打开Windows的临时目录,里面的文件默认拥有当前登录用户的读写权限,常被用来提权,重点检查exe、dll、sys文件,或者特别大的文件。

将可疑文件上传到沙箱或情报中心分析,比如:

  • 奇安信威胁情报中心:https://ti.qianxin.com/
  • VT文件分析平台:https://www.virustotal.com/gui/home/upload

3)WIN + R ,输入 %systemroot%\Prefetch,打开预读取文件夹,这里会缓存访问过的文件,以便下次访问时可以更快的加载。

4)查看浏览器的浏览记录、下载记录、Cookie信息进行协助分析。

5)使用相关工具查杀可疑文件。

服务器通常会安装杀毒软件,全盘扫描即可,如果没装就装一个。

杀毒软件一般不会做驱动对抗,如果怀疑是驱动类型的病毒,需要用专杀工具(奇安信顽固病毒专杀工具、360急救箱等)。

6)certutil -hashfile shell.php MD5 计算样本MD5

%WINDIR%

%WINDIR%\SYSTEM32

%localappdata%

%appdata%

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/871002.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

不可能,绝对不可能

前言 有 2 个月未更了&#xff0c;读者朋友微信留言&#xff1a;“亮哥&#xff0c;最近是不是颓了&#xff1f;好久未更了” 我随即回复&#xff1a; 没想到这时兄弟发来了&#xff1a; 好吧&#xff0c;给大家汇报下近况&#xff0c;不枉大家一直激励我前行。 项目管理 前段时…

MySQL分表实现上百万上千万记录分布存储的批量查询设计模式

我们知道可以将一个海量记录的 MySQL 大表根据主键、时间字段&#xff0c;条件字段等分成若干个表甚至保存在若干服务器中。唯一的问题就是跨服务器批量查询麻烦&#xff0c;只能通过应用程序来解决。谈谈在Java中的解决思路。其他语言原理类似。这里说的分表不是 MySQL 5.1 的…

STM32入门学习之定时器PWM输出

1.脉冲宽度调制PWM(Pulse Width Modulation)是利用微处理器的数字输出来对模拟电路进行控制的一种非常有效的技术。PWM可以理解为高低电平的占空比&#xff0c;即输出高电平时间与低电平时间的比值。PWM的应用是否广泛&#xff0c;比如在步进电机的控制中&#xff0c;可以通过P…

WebRTC本地视频通话使用ossrs服务搭建

iOS开发-ossrs服务WebRTC本地视频通话服务搭建 之前开发中使用到了ossrs&#xff0c;这里记录一下ossrs支持的WebRTC本地服务搭建。 一、ossrs是什么&#xff1f; ossrs是什么呢&#xff1f; SRS(Simple Realtime Server)是一个简单高效的实时视频服务器&#xff0c;支持RTM…

【佳佳怪文献分享】通过引导学会行走: 动态环境中的感知四足运动

标题&#xff1a;Learning to Walk by Steering: Perceptive Quadrupedal Locomotion in Dynamic Environments 作者&#xff1a;Mingyo Seo , Ryan Gupta , Yifeng Zhu , Alexy Skoutnev , Luis Sentis , and Yuke Zhu 来源&#xff1a;2023 IEEE International Conference …

Titanic--细节记录二

merge、join以及concat的方法的不同以及相同 相同之处&#xff1a;都用于合并数据。 不同之处&#xff1a; merge主要是基于列的合并。join主要是基于索引&#xff08;行标签&#xff09;的合并。concat可以沿任意轴合并&#xff0c;更灵活。 import pandas as pddf1 pd.Da…

Linux 查看内存使用情况的几种方法

在运行 Linux 系统的过程中为了让电脑或者服务器以最佳水平运行&#xff0c;常常需要监控内存统计信息。 那么今天我们就来看看有哪些方法可以访问所有相关信息并帮助管理员监控内存统计信息。 查看或者获取 Linux 中的内存使用情况既可以通过命令的方式&#xff0c;也可以通…

OptaPlanner笔记6 N皇后

N 个皇后 问题描述 将n个皇后放在n大小的棋盘上&#xff0c;没有两个皇后可以互相攻击。 最常见的 n 个皇后谜题是八个皇后谜题&#xff0c;n 8&#xff1a; 约束&#xff1a; 使用 n 列和 n 行的棋盘。在棋盘上放置n个皇后。没有两个女王可以互相攻击。女王可以攻击同一水…

Python语言基础---选择判断循环结构详解

文章目录 &#x1f340;引言&#x1f340;if语句&#x1f340;if-else语句&#x1f340;if-elif-else语句&#x1f340;for循环&#x1f340;while循环 &#x1f340;引言 在Python编程语言中&#xff0c;选择判断和循环是两个非常重要的概念。它们可以让我们根据条件执行不同的…

分布式应用:Zabbix监控Tomcat

目录 一、理论 1.Zabbix监控Tomcat 二、实验 1.Zabbix监控Tomcat 三、问题 1.获取软件包失败 2.tomcat 配置 JMX remote monitor不生效 3.Zabbix客户端日志报错 一、理论 1.Zabbix监控Tomcat &#xff08;1&#xff09;环境 zabbix服务端&#xff1a;192.168.204.214 …

模型性能的主要指标

主要参数 ROC 曲线和混淆矩阵都是用来评估分类模型性能的工具 ROC曲线&#xff08;Receiver Operating Characteristic curve&#xff09;&#xff1a; ROC曲线描述了当阈值变化时&#xff0c;真正类率&#xff08;True Positive Rate, TPR&#xff09;和假正类率&#xff0…

SAP 收藏夹Favorites介绍,收藏夹导入/导出功能

作为SAP用户&#xff0c;经常需要使用一些事务代码T-Code, 很多时候会因为不常用其中的一些遗忘这个功能&#xff0c;所以这时候分类收藏好不同Module的事务代码到收藏夹里是一个不错的选择。 经常面临的一个场景就是需要变换系统环境&#xff0c;比如从Client A01,去到Client…

springcloud 基础

SprinbCloud微服务简介 架构发展历史 SpringBoot由baiPivotal团队在2013年开始研发、2014年4月发布第一个du版本的全新开源的轻量级框架。 它基zhi于Spring4.0设计&#xff0c;不dao仅继承了Spring框架原有的优秀特性&#xff0c;而且还通过简化配置来进一步简化了Spring应用…

QIIME 2教程. 11元数据Metadata(2023.5)

QIIME 2用户文档. 11元数据 Metadata in QIIME 2 https://docs.qiime2.org/2023.5/tutorials/metadata/ 注&#xff1a;此实例需要一些基础知识&#xff0c;要求完成本系列文章前两篇内容&#xff1a;《1简介和安装Introduction&Install》和4《人体各部位微生物组分析Movin…

【硬件突击 电路】

文章目录 1. 电阻&#xff08;Resistor&#xff09;&#xff1a;2. 电容&#xff08;Capacitor&#xff09;&#xff1a;3. 电感&#xff1a;4、 RC、RL、RLC电路结构及工作原理基尔霍夫定律基尔霍夫电流定律&#xff08;KCL&#xff09;基尔霍夫电压定律&#xff08;KVL&#…

【舌尖优省PLUS】美团、饿了么外卖免费领红包,尽情享受美食与省钱!

家人们&#xff01;我昨天刚开发完并上线了一个超棒的外卖免费领红包的小程序&#xff0c;它叫做【舌尖优省PLUS】&#xff01;如果你喜欢美食&#xff0c;还想省下一些钱&#xff0c;那这个小程序绝对不能错过&#xff01; 在【舌尖优省PLUS】上&#xff0c;你可以通过简单的…

react 生命周期方法

组件的生命周期 每个组件都包含 “生命周期方法”&#xff0c;你可以重写这些方法&#xff0c;以便于在运行过程中特定的阶段执行这些方法。你可以使用此生命周期图谱作为速查表。在下述列表中&#xff0c;常用的生命周期方法会被加粗。其余生命周期函数的使用则相对罕见。 挂…

第4章:决策树

停止 当前分支样本均为同一类时&#xff0c;变成该类的叶子节点。当前分支类型不同&#xff0c;但是已经没有可以用来分裂的属性时&#xff0c;变成类别样本更多的那个类别的叶子节点。当前分支为空时&#xff0c;变成父节点类别最多的类的叶子节点。 ID3 C4.5 Cart 过拟合 缺…

springcloud3 sleuth实现链路状态监控

一 slueth的介绍 1.1 slueth的作用 在微服务框架中&#xff0c;一个由客户端发起的请求在后端系统中会经过多个不同的服务节点调用来协同产生最后的请求结果&#xff0c;每一个阶段请求都会形成一条复杂的分布式调用链路&#xff0c;链路中任何一环出现高延时或者错误都会引起…

通讯协议038——全网独有的OPC HDA知识一之聚合(七)最小值

本文简单介绍OPC HDA规范的基本概念&#xff0c;更多通信资源请登录网信智汇(wangxinzhihui.com)。 本节旨在详细说明HDA聚合的要求和性能。其目的是使HDA聚合标准化&#xff0c;以便HDA客户端能够可靠地预测聚合计算的结果并理解其含义。如果用户需要聚合中的自定义功能&…