天眼初步认知及使用大汇总

最新推荐文章于 2025-04-19 13:02:22 发布

Cai菜努力学技术

最新推荐文章于 2025-04-19 13:02:22 发布

阅读量2k

点赞数 10

文章标签：网络网络安全 web安全 ssh

本文链接：https://blog.csdn.net/m0_74271951/article/details/132093255

版权

本文介绍了天眼分析平台的三大功能：传感器检测流量以识别网络攻击，沙箱用于发现恶意样本，分析平台存储历史流量进行威胁分析。详细阐述了针对web攻击、蠕虫类告警、爆破行为的分析方法，包括威胁情报、漏洞利用如信息泄露、弱口令、XSS和SQL注入的防范和应对措施。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

三大功能
- 传感器（对流量解析还原，发现网络攻击和web攻击能力)
- 沙箱（发现恶意样本投递能力)
- 分析平台（存储历史流量，分析威胁和溯源能力)
搜索语法
- 字段名称，项，运算符三大元素构成
分析
- web类攻击分析思路
  - 1. web攻击（查看请求包和响应包，有没有报红，有没有攻击成功)
  - 2.查看告警详情（请求头，请求内容，定位到告警攻击的payload)
  - 3.分析攻击动作（读取文件，打印输出内容，写入文件，尝试下载文件，执行函数)
- 蠕虫类告警分析
  - 1.木马通过互联网或u盘方式入侵
  - 2.木马通过DNS服务器解析恶意域名
  - 3.DNS服务器接到请求，向互联网DNS服务器迭代查询
  - 4.DNS服务器接收到返回结果，终端机获取到可以连接的IP
  - 5.终端机对解析到的IP发起TCP来连接，攻击者知道该终端已成功上线
- 爆破和踩点行为分析
  - 1.登录爆破（单个IP，使用多个用户名和密码组合进行登录尝试，导致短时间内登录失败)
  - 2.目录和资源爆破（短时间内访问大量url，触发大量404)
  - 3.手段
    - 找到爆破行为IP，阻断攻击行为
    - 找到攻击成功的IP，
    - 分析攻击IP的操作，编写事件报告
  - 4.ftp爆破
    - 日志检索使用天眼语法搜索爆破IP：normal_ret:faild AND proto:ftp
    - 判断爆破攻击行为 normal_ret:success AND proto:ftp AND sip
  - 5.ssh 爆破
  - - 日志检索使用天眼语法搜索爆破IP：normal_ret:faild AND proto:ssh
    - 判断爆破攻击行为 normal_ret:success AND proto:ssh AND sip
天眼设备介绍
- 传感器
- 天眼分析平台
- 文件鉴定器
天眼告警分析
- 1.Web攻击（信息泄露，弱口令，XSS攻击，XXE，SQL注入，文件上传，文件包含，webshell，命令执行.......)
- 2.威胁情报（木马远控，挖矿木马，勒索病毒，僵尸网络，黑市工具...)
- 详述web攻击
  - 信息泄露—— 信息收集
  - 弱口令（字典） 1.默认弱口令字典 2.社工弱口令字典
    - 中间件Tomcat弱口令
      - 进入中间件后台直接部署war包getshell
      - tomcat与basic认证弱口令信息在请求头Authorization字段中，可用base64解码
    - 暴力猜解（穷举法）看到告警信息要结合流量分析溯源判断是否爆破成功
      - 分析技巧
        ①HTTP登陆爆破，协议类型web日志
        
        sip:(“攻击IP”) AND dip:(“受攻击系统IP”)AND data:“登陆请求账号字段”)
        
        ②FTP、SMTP、Telnet、SSH、mysql数据库等登陆爆破，协议登陆动作
        
        sip:“攻击IP”)AND dip:“受攻击系统IP”)AND proto:“爆破协议”)
        
        ③过滤爆破登陆成功
        
        sip:(“攻击IP”) AND dip:(“受攻击系统IP”)AND proto:(“爆破协议”) AND NOT (info:fail* OR info:530)
  - XSS
    - 1.反射型（请求头“<script>alert(xss)</script>"与响应体“<script>alert(xsss)</script>"触发警告
    - 分析技巧
      - 1、如果遇到跨站响应数据比较多，可以将响应体的数据贴出来放到HTML文件里面打开，观察是否弹窗。
      - 2、如果未弹窗，则在浏览器总CTRL+F查找对应未实体化的JS脚本代码，常见的跨站攻击代码如下：{[[<script]],[[<a]].[[<div]],[[<img]],[[<iframe]],[[<svg]],[[<body]],[[audio]],.....
  - SQL注入
    - union联合查询注入
      - 对SQL注入成功的payload进行分析，若服务器返回相应数据查询信息，则判断攻击成功
      - 发现成功爆出当前当前数据库root@localhost，SQL注入成功。
    - 布尔盲注
      - 根据响应体长度判断攻击是否注入成功
      - 大多数布尔盲注返回错误页面，（数据包查看数据库对应用户名ascii码值，若此时ASCII值=真正对应用户名母ASCII值，则才会返回正常页面 ·
    - 时间盲注
      - 服务器记录的响应时间与攻击注入的时间函数不一致，则攻击未成功，网络延迟过高，则可能导致告警成功
  - 文件上传
    - 客户端请求数据...，服务器返回success upload,判断webshell上传成功
    - 文件上传企图告警，根据数据包无法判断上传成功，可到分析平台查看是否有脚本文件的访问记录，若有，则成功。
    - 检索语法：uri("webshell文件名”），若上传脚本文件被重命名，就筛选出攻击IP对服务器的web协议的访问流量分析判断
  - 文件包含
    - 函数 include（），include_once(),require(),require_once() 发生错误，脚本会停止
  - 命令执行
    - struts2代码执行，执行echo，print，whoami函数
  - XXE（XML外部实体注入）
- 2.详述威胁情报
  - IOC （失陷指标/特征）
  - 远控木马
    - 告警分析
      - 根据情报提供的信息通过天眼进行日志检索、
      - 1.不断解析域名down.luckyboy.cn
      - 2.内网主机请求该域名的au3.exe文件，命中情报信息
  - 挖矿木马
    - 常见挖矿协议：GETWORK,Getblocktemplate协议，STRATUM
    - 流量日志中有status字眼
    - 中挖矿木马如何解决？
  - 勒索病毒
    - 修复
      - 通过杀毒系统对当前主机进行全盘扫描并查杀病毒
      - 更新补丁
      - 开启系统防火墙
      - 关闭网络共享端口，关闭445,139，等端口
      - 修改主机口令且密码满足复杂度要求