应急响应二 - 后门分析&勒索病毒&攻击

操作系统(windows,linux)应急响应基础知识

常见危害：
	1.暴力破解：针对系统有包括rdp、ssh、telnet等，针对服务有包括mysql、ftp等，一般可以通过超级弱口令工具、hydra进行爆破 。
	2.漏洞利用：通过系统、服务的漏洞进行攻击，如永恒之蓝等 
	3.流量攻击：主要是对目标机器进行dos攻击，从而导致服务器瘫痪 
	4.木马控制：主要分为webshell和PC木马，webshell是存在于网站应用中的，而PC木马是进入系统进行植入的。目的是对系统进行持久控制 。
	5.病毒感染：主要分挖矿病毒、蠕虫病毒、勒索病毒等，对目标文件或目录进行加密，用户需要支付酬金给黑客。
危险分析：
	账户：账户异常、账户增加，看攻击者是否留有后门账户 
	端口：异常端口开放，看是否与外部地址的某个端口建立了连接 
	进程：异常进程加载，看是否存在异常进程执行（排除系统正常进程） 
	网络：网络连接异常，看是否对局域网内其他IP地址进行请求（横向）或自身网络异常 
	启动：异常程序开机自启动，看是否存在开机自启动的程序，排查是否为恶意程序 
	服务：异常服务添加、启动，看机器上是否存在异常服务（排除系统正常服务） 
	任务：异常定时任务执行，看机器上是否存在定时任务 
	文件：异常文件，看机器上是否存在异常文件，如后门、病毒、木马等


补充资料：
应急响应大合集：https://xz.aliyun.com/t/485
Windows安全工具锦集：https://www.secpulse.com/archives/114019.html
微软官方工具：https://docs.microsoft.com/en-us/sysinternals/

病毒分析：
	PCHunter：http://www.xuetr.com
	火绒剑：https://www.huorong.cn
	Process Explorer：https://docs.microsoft.com/zh-cn/sysinternals/downloads/process-explorer
	processhacker：https://processhacker.sourceforge.io/downloads.php
	autoruns：https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
	OTL：https://www.bleepingcomputer.com/download/otl/
	SysInspector：http://download.eset.com.cn/download/detail/?product=sysinspector

病毒查杀：
	卡巴斯基：http://devbuilds.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe
	大蜘蛛：http://free.drweb.ru/download+cureit+free
	火绒安全软件：https://www.huorong.cn
	360 杀毒：http://sd.360.cn/download_center.html

病毒动态：
	CVERC-国家计算机病毒应急处理中心：http://www.cverc.org.cn
	微步在线威胁情报社区：https://x.threatbook.cn
	火绒安全论坛：http://bbs.huorong.cn/forum-59-1.html
	爱毒霸社区：http://bbs.duba.net
	腾讯电脑管家：http://bbs.guanjia.qq.com/forum-2-1.html

在线病毒扫描网站：
	多引擎在线病毒扫描网：http://www.virscan.org 
	腾讯哈勃分析系统：https://habo.qq.com 
	Jotti 恶意软件扫描系统：https://virusscan.jotti.org
	计算机病毒、手机病毒、可疑文件分析 ：http://www.scanvir.com 

攻击响应-暴力破解(RDP,SSH)-Win,Linux

windows2012日志分析
windows2012服务器日志位置：打开服务器管理 --> 所有服务器 --> 计算机管理–> 事件查看器–> windows日志
Windows系统的日志一般分为三种
系统日志: System.evtx (系统组件等日志)
应用程序日志: Application.evtx (应用程序等日志)
安全日志: Security.evtx (系统登录等日志)

分为应用程序（软件信息）、安全（登录信息）、设置、系统（服务策略信息）

Windows系统日志默认保存在：c:\Windows\System3\config

windows自带日志工具不好用，查找分析不方便，推荐使用LogFusion工具。
LogFusion打开本地日志

演示Windows日志分析：
1.使用弱口令检测工具模拟攻击。

2.在LogFusion的安全里面查看登录情况
可根据时间ID进行筛选：
常见事件ID:
4624 登录成功
4625 登录成功
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户

双击进入，查看详细信息（可以看到是哪个IP地址爆破密码成功，成功登录了本机）

Linux的Ubuntu日志分析
-linux日志位置：/var/log

使用grep筛选
1、统计了下日志，确认服务器遭受多少次暴力破解
	grep -o "Failed password" /var/log/secure|uniq -c 
2.输出登录爆破的第一行和最后一行，确认爆破时间范围
	grep "Failed password" /var/log/secure|head -1 grep "Failed password" /var/log/secure|tail -1 
3.进一步定位有哪些 IP 在爆破？
	grep "Failed password" /var/log/secure|grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[04][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][09]?)"|uniq -c | sort -nr 
4.爆破用户名字典都有哪些？
	grep "Failed password" /var/log/secure|perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}'|uniq -c|sort nr 
5.登录成功的日期、用户名、IP
	grep "Accepted " /var/log/secure | awk '{print $1,$2,$3,$9,$11}' grep "Accepted " /var/log/secure | awk '{print $11}' | sort | uniq -c | sort -nr | more

控制响应-后门木马(Webshell,PC)-Win,Linux

windows执行木马，CS上线，模拟攻击
windows：默认配置测试
1.cs上线Windows

2.使用工具来查看进程通讯信息
TCPView工具，可以查看哪个进程进行过远程通讯，从而确定系统是否曾经遭受过攻击。（windows自带工具，不推荐，进程信息加载不全）

Process Explorer工具，可以查看分析进程（windows自带）

PCHunter工具。集成了查看进程和ip通信和进程查看。
缺点是：windows高版本（Windows2012以上）网络信息获取不全。比如木马在windows7执行后，该工具可以获取网络信息。

黑色的为系统进程，蓝色的为非系统进程

1.“进程”页面下，缺少数字签名、文件厂商等信息的进程很有可能是木马
2.“网络”页面下，可以排查可疑的远程连接和它指向的文件名
3.有些木马文件会写到内核里头，需要在内核界面排查
4.“文件”页面可以看隐藏文件
5.在“启动信息”“启动项”排查有无可疑启动项，“服务”“计划任务”可以排查可疑服务
6.“系统杂项”“系统用户名”排查有无隐藏用户

UserAssistView：
UserAssistView可以查看文件执行记录，是官方工具

找到后门文件后，可以通过该文件查看后门文件的执行情况

LogonSessions：
LogonSessions可以查看当前会话，是官方工具
可以用来分析有没有远程连接

Autoruns：
Autoruns可以查看Windows上的自启动项目

Linux-自动化响应检测-Gscan
CS上线Linux主机参考：https://www.adminxe.com/1287.html
自动化响应检测工具：GScan、chkrootkit、rkhunter、lynis
GScan下载：https://github.com/grayddq/GScan/

使用git下载
    git clone https://github.com/grayddq/GScan.git
来到Gscan的文件夹
    cd GScan
运行Gscan
    python GScan.py
    
GScan功能：
	 1、主机信息获取
	 2、系统初始化alias检查
	 3、文件类安全扫描
	 4、各用户历史操作类
	 5、进程类安全检测
	 6、网络类安全检测
	 7、后门类检测
	 8、账户类安全排查
	 9、日志类安全分析
	 10、安全配置类分析
	 11、Rootkit分析
	 12.WebShell类文件扫描---Python3运行文件---扫描的结果---netstat -ntl可以查看tcp端口等，再通过ps命令找到对应的进程，分析其是否是木马病毒---ps命令显示linux进程信息，进程信息主要包括进程用户、pid、内存、cpu、启动时间、路径、终端等 

运行Gscan，自动检测

Gscan检测效果：

危害响应-病毒感染(勒索 WannaCry)-Windows

系统中毒表现：
所有文本文件都变为乱码，尝试打开会连带打开病毒介绍，桌面图片也连带被改变

永恒之蓝样本下载地址： https://bbs.pediy.com/thread-217586-1.html
勒索病毒解密网站：
https://lesuobingdu.360.cn/
https://www.nomoreransom.org/zh/index.html