天眼初步认知及使用大汇总

• 三大功能
  • 传感器 （对流量解析还原，发现网络攻击和web攻击能力)
  • 沙箱 （发现恶意样本投递能力)
  • 分析平台 （存储历史流量，分析威胁和溯源能力)
• 搜索语法
  • 字段名称，项 ，运算符 三大元素构成
• 分析
  • web类攻击分析思路
    • 1. web攻击 （查看请求包和响应包，有没有报红，有没有攻击成功)
    • 2.查看告警详情 （请求头，请求内容，定位到告警攻击的payload)
    • 3.分析攻击动作 （读取文件，打印输出内容，写入文件，尝试下载文件，执行函数)
  • 蠕虫类告警分析
    • 1.木马通过互联网或u盘方式入侵
    • 2.木马通过DNS服务器解析恶意域名
    • 3.DNS服务器接到请求，向互联网DNS服务器迭代查询
    • 4.DNS服务器接收到返回结果，终端机获取到可以连接的IP
    • 5.终端机对解析到的IP发起TCP来连接，攻击者知道该终端已成功上线
  • 爆破和踩点行为分析
    • 1.登录爆破 （单个IP，使用多个用户名和密码组合进行登录尝试，导致短时间内登录失败)
    • 2.目录和资源爆破 （短时间内访问大量url，触发大量404)
    • 3.手段
      • 找到爆破行为IP，阻断 攻击行为
      • 找到攻击成功的IP，
      • 分析攻击IP的操作，编写事件报告
    • 4.ftp爆破
      • 日志检索使用天眼语法搜索爆破IP：normal_ret:faild AND proto:ftp
      • 判断爆破攻击行为 normal_ret:success AND proto:ftp AND sip
    • 5.ssh 爆破
    • • 日志检索使用天眼语法搜索爆破IP：normal_ret:faild AND proto:ssh
      • 判断爆破攻击行为 normal_ret:success AND proto:ssh AND sip
• 天眼设备介绍
  • 传感器
  • 天眼分析平台
  • 文件鉴定器

   

• 天眼告警分析
  • 1.Web攻击 （信息泄露，弱口令，XSS攻击，XXE，SQL注入，文件上传，文件包含，webshell，命令执行.......)
  • 2.威胁情报 （木马远控，挖矿木马，勒索病毒，僵尸网络，黑市工具...)
  • 详述web攻击
    • 信息泄露—— 信息收集
    • 弱口令（ 字典 ） 1.默认弱口令字典 2.社工弱口令字典
      • 中间件Tomcat弱口令
        • 进入中间件后台直接部署war包getshell
        • tomcat与basic认证弱口令信息在请求头Authorization字段中，可用base64解码
      • 暴力猜解（穷举法） 看到告警信息要结合流量分析溯源判断是否爆破成功
        • 分析技巧
          • ①HTTP登陆爆破，协议类型web日志
          • sip:(“攻击IP”) AND dip:(“受攻击系统IP”)AND data:“登陆请求账号字段”)
          • ②FTP、SMTP、Telnet、SSH、mysql数据库等登陆爆破，协议登陆动作
          • sip:“攻击IP”)AND dip:“受攻击系统IP”)AND proto:“爆破协议”)
          • ③过滤爆破登陆成功
          • sip:(“攻击IP”) AND dip:(“受攻击系统IP”)AND proto:(“爆破协议”) AND NOT (info:fail* OR info:530)

     

    • XSS
      • 1.反射型 （请求头“<script>alert(xss)</script>"与响应体“<script>alert(xsss)</script>"触发警告
      • 分析技巧
        • 1、如果遇到跨站响应数据比较多，可以将响应体的数据贴出来放到HTML文件里面打开，观察是否弹窗。
        • 2、如果未弹窗，则在浏览器总CTRL+F查找对应未实体化的JS脚本代码，常见的跨站攻击代码如下：{[[<script]],[[<a]].[[<div]],[[<img]],[[<iframe]],[[<svg]],[[<body]],[[audio]],.....
    • SQL注入
      • union联合 查询注入
        • 对SQL注入成功的payload进行分析，若服务器返回相应数据查询信息，则判断攻击成功
        • 发现成功爆出当前当前数据库root@localhost，SQL注入成功。
      • 布尔盲注
        • 根据响应体长度判断攻击是否注入成功
        • 大多数布尔盲注返回错误页面，（数据包查看数据库对应用户名ascii码值，若此时ASCII值=真正对应用户名母ASCII值，则才会返回正常页面 ·
      • 时间盲注
        • 服务器记录的响应时间与攻击注入的时间函数不一致，则攻击未成功，网络延迟过高，则可能导致告警成功
    • 文件上传
      • 客户端请求数据...，服务器返回success upload,判断webshell上传成功
      • 文件上传企图告警，根据数据包无法判断上传成功，可到分析平台查看是否有脚本文件的访问记录，若有，则成功。
      • 检索语法：uri("webshell文件名”）， 若上传脚本文件被重命名，就筛选出攻击IP对服务器的web协议的访问流量分析判断
    • 文件包含
      • 函数 include（），include_once(),require(),require_once() 发生错误，脚本会停止
    • 命令执行
      • struts2代码执行，执行echo，print，whoami函数
    • XXE（XML外部实体注入）

     

  • 2.详述威胁情报
    • IOC （失陷指标/特征）
    • 远控木马
      • 告警分析
        • 根据情报提供的信息通过天眼进行日志检索、
        • 1.不断解析域名down.luckyboy.cn
        • 2.内网主机请求该域名的au3.exe文件，命中情报信息
    • 挖矿木马
      • 常见挖矿协议：GETWORK,Getblocktemplate协议，STRATUM
      • 流量日志中有status字眼
      • 中挖矿木马如何解决？
    • 勒索病毒
      • 修复
        • 通过杀毒系统对当前主机进行全盘扫描并查杀病毒
        • 更新补丁
        • 开启系统防火墙
        • 关闭网络共享端口，关闭445,139，等端口
        • 修改主机口令且密码满足复杂度要求