应急响应学习笔记，Web入侵-入口&查杀&攻击链等

蓝队应急响应中的一些核心概念和步骤：

1. 威胁情报收集

• 及时获取最新的威胁情报是蓝队应急响应的基础。通过情报共享平台、威胁情报订阅和社区交流，你可以了解潜在的攻击方式、恶意软件的特征和攻击者的战术。

2. 监控和检测

• 使用SIEM（安全信息和事件管理）系统、IDS/IPS（入侵检测和防御系统）等工具进行实时监控，检测潜在的威胁。日志分析和流量分析也是检测异常活动的关键手段。

3. 事件分析

• 一旦检测到异常，蓝队需要快速分析事件。包括确定事件的范围、影响以及攻击者的动机。利用数据取证技术，可以提取出攻击者的行为路径和入侵方法。

4. 遏制、根除与恢复

• 在分析之后，需要采取措施遏制攻击，防止其扩散。这可能包括隔离受感染的系统、关闭网络连接等。根除步骤涉及清除恶意软件、修补漏洞，确保攻击者无法重新进入。恢复是指将系统和服务恢复到正常状态，同时确保数据的完整性和安全性。

5. 事后分析与改进

• 每次应急响应后，蓝队都会进行事后分析（Post-Mortem），总结经验教训，改进安全策略和响应流程，以提高未来的防御能力。

6. 文档记录

• 记录每次事件的响应过程、决策过程以及采取的措施。这些记录不仅有助于事后分析，也为法律合规和审计提供了依据。

获取当前WEB环境的组成架构（脚本，数据库，中间件，系统等） 分析思路：

1、利用时间节点筛选日志行为

2、利用对漏洞进行筛选日志行为

3、利用后门查杀进行筛选日志行为

4、利用文件修改时间筛选日志行为

5、利用流量捕获设备数据包分析行为

补充部分：

• 利用基线对比分析：通过对比正常情况下的日志行为与当前的日志行为，找出异常点。基线通常包括正常的访问模式、流量分布、文件变动情况等。

• 用户行为分析（UBA）：通过分析用户的登录时间、访问频率、IP地址变化、以及特权账户的使用情况，识别异常行为或可疑活动。

• 关联分析（Correlation Analysis）：将不同日志源（如Web服务器日志、数据库日志、系统日志等）的数据进行关联分析，找出跨系统的可疑行为。例如，将Web服务器日志与数据库日志结合分析，可以发现未授权的数据库访问行为。

• 利用威胁情报：结合外部威胁情报信息，筛选与已知攻击模式或恶意IP相关的日志事件。这可以帮助快速定位已知攻击工具或技术的使用痕迹。

• 异常模式检测（Anomaly Detection）：利用机器学习模型或统计学方法检测日志中的异常模式，这些模式可能是潜在攻击行为的迹象。

• 端点检测与响应（EDR）：结合端点检测工具收集的事件，分析是否有可疑的进程启动、文件执行或系统配置变更，从而补充日志分析的盲点。

• 时间序列分析：分析日志的时间序列数据，找出事件发生的时间模式，识别在特定时间段内的异常行为，比如集中在午夜或其他非工作时间的活动。

  #Web攻击链分析

  1、数据包流量特征

  2、工具流量特征指纹

  了解使用哪种工具或哪种技术、漏洞利用等

  因为日志大部分不会存储POST数据包或存储过少，导致无法分析具体行为

  主机会采用流量捕获设备或防御检测系统抓到攻击流量包，便于分析具体行为

  1、哥斯拉流量包

  2、漏洞利用流量包

  3、特有加密流量包

  https://mp.weixin.qq.com/s/qPGLNtzJFLorTfwIjL29fw

  https://mp.weixin.qq.com/s/jTHPVlQA-qROO44-A_lp0w

  #处置结果：

  找到攻击利用点并修复，写出攻击者流程，清理后门并后续溯源等

  #细节优化：（持续关注）

  0、如何做到Webshell查杀的精准

  1、如何做到日志分析效率和准确

  2、如何做到流量包分析效率和准确

  3、如何做到后续溯源定位效率和准确

  4、如何做到应急分析溯源报告的书写

  1.从服务器日志文件中找寻入侵痕迹

  目标： 通过分析IIS或Apache服务器的日志文件，发现潜在的入侵痕迹。 步骤：

  1. 收集日志文件： 确保获取了服务器上所有相关的日志文件，包括访问日志（access.log）、错误日志（error.log）等。
  2. 日志分析： 使用日志分析工具或手动查找日志中的异常活动，如：
     • 非常规时间段的访问。
     • 短时间内大量的404错误，可能表明攻击者在探测目录。
     • SQL注入、XSS等常见攻击模式的痕迹。
     • 来自异常IP地址的重复请求。
  3. 流量分析： 如果日志中显示了可疑请求，结合网络流量分析工具（如Wireshark）进一步确认这些请求是否导致了数据泄露或恶意活动。
  4. 记录和标记： 将所有发现的可疑活动进行记录，标记时间戳、IP地址、请求路径等信息，为后续的深度分析提供依据。

  2. 使用工具扫描Web目录并排查WebShell

  目标： 通过扫描工具如D盾，检测并清除WebShell等恶意文件，并追踪攻击源头。 步骤：

  1. 扫描Web目录： 使用D盾或类似的安全工具，对网站根目录和相关目录进行全面扫描，识别潜在的WebShell文件。
     • 重点扫描可写目录，如上传目录、缓存目录等。
     • 识别可疑文件，如未曾见过的PHP、ASP、JSP文件，特别是文件名或大小异常的。
  2. 隔离和分析： 一旦发现WebShell，将其隔离（移出可访问路径）并进行分析。
     • 查看WebShell的内容，了解攻击者可能的意图和操作手法。
  3. 回溯分析： 根据WebShell的时间戳和访问日志，回溯攻击者是何时、通过何种手段上传了恶意文件。
     • 利用之前记录的日志信息，进一步确认入侵路径和可能的漏洞。
  4. 漏洞修补： 针对发现的漏洞进行修补，修改文件权限、更新服务器软件，确保类似攻击无法再次发生。
  5. 日志记录和报告： 详细记录整个排查和修复过程，生成报告，便于团队内部分享和后续改进。